Comments
Description
Transcript
VNXのセキュリティ構成ガイド - EMC Japan
EMC® VNX® Series バージョン VNX1, VNX2 VNX のセキュリティ構成ガイド P/N 300-015-128 REV. 05 Copyright © 2012-2016 年 EMC ジャパン株式会社 . All rights reserved. (不許複製・禁無断転載) Published in the USA. 2016 年年 2 月発行 EMC Corporation は、この資料に記載される情報が、発行日時点で正確であるとみなしています。この情報は予告なく変更される ことがあります。 この資料に記載される情報は、「現状有姿」の条件で提供されています。EMC Corporation は、この資料に記載される情報に関す る、どのような内容についても表明保証条項を設けず、特に、商品性や特定の目的に対する適応性に対する黙示の保証はいたし ません。 EMC²、EMC、および EMC ロゴは、米国およびその他の国における EMC Corporation の登録商標または商標です。他のすべての 名称ならびに製品についての商標は、それぞれの所有者の商標または登録商標です。 ご使用の製品に関する規制等についての最新情報は、EMC オンライン サポート(https://support.emc.com)を参照してください。 EMC ジャパン株式会社 〒 151-0053 東京都渋谷区代々木 2-1-1新宿マインズタワー http://japan.emc.com お問い合わせは http://japan.emc.com/contact 2 VNX1, VNX2 VNX のセキュリティ構成ガイド 目次 7 序文 第1章 9 はじめに 概要..............................................................................................................10 ユーザー インタフェースの選択......................................................................10 用語..............................................................................................................10 関連機能に関する情報..................................................................................12 Unisphere Management Suite 関連のホワイト ペーパー................................ 13 第2章 15 アクセス制御 アクセス制御設定..........................................................................................16 管理アクセスのセキュリティ........................................................................... 16 認証..............................................................................................................17 Unisphere の認証............................................................................ 17 VNX for Block の CLI の認証............................................................. 18 VNX for File の CLI の認証................................................................ 18 ユーザーの適用範囲........................................................................19 LDAP または Active Directory を使用した認証................................... 19 デフォルトのアカウント......................................................................21 認証せずに実行するユーザーのアクション....................................... 22 コンポーネント認証(Block).............................................................. 22 許可..............................................................................................................22 Unisphere の主な役割..................................................................... 22 データ保護の役割............................................................................ 24 コンポーネントのアクセス制御....................................................................... 25 コンポーネント認証...........................................................................25 VNX for File の CLI の役割に基づくアクセス....................................... 26 UNIX ユーザーに対する Windows スタイルの認証情報.....................26 セッション トークンの保護..................................................................26 CIFS Kerberos 認証 CIFS Kerberos にんしょう.....................................26 NFS セキュリティ設定........................................................................26 NFS および CIFS のアクセス ポリシー................................................ 27 データ セキュリティ設定................................................................................. 27 データの整合性................................................................................27 格納データの暗号化........................................................................ 27 パスワード ポリシー.......................................................................................27 物理的セキュリティ統制.................................................................................28 ログイン バナーと今日のメッセージ................................................................28 第3章 29 ロギング ログの設定....................................................................................................30 VNX for Block システムの監査ログ.................................................................30 VNX および RSA enVision.............................................................................. 31 VNX for File システムの監査.......................................................................... 31 格納データの暗号化の監査ログ.................................................................... 32 VNX1, VNX2 VNX のセキュリティ構成ガイド 3 目次 第4章 通信セキュリティ 33 通信のセキュリティの設定............................................................................. 34 ポートの使用.................................................................................................34 VNX for Block 上の Unisphere コンポーネントによって使用されるポート......... 34 ネットワーク上での VNX for file の機能.......................................................... 35 強固な防御...................................................................................... 36 VNX for File のネットワーク サービス................................................. 36 VNX for File のセッション タイムアウト................................................ 37 プライベート ネットワーク.................................................................. 37 VNX for File プライマリ ネットワーク サービス.....................................37 VNX for File 送信ネットワーク接続.....................................................55 ネットワークの暗号化.................................................................................... 59 VNX Unified/File システムでの SSL の構成....................................... 59 HTTPS の使用.................................................................................. 60 LDAP SSL の使用..............................................................................60 SSL 証明書................................................................................................... 60 SSL を使用したディレクトリ サーバーへの接続.................................. 61 VNX for File での公開鍵基盤の計画に関する考慮事項.................................. 62 ペルソナ...........................................................................................62 CA(認証局)の証明書.......................................................................63 CA としての Control Station の使用.................................................. 63 Control Station のお客様提供の証明書............................................64 VNX for File システム上の IP Packet Reflect....................................................65 フィルタリング管理ネットワークの効果............................................................65 vSphere Storage API for Storage Awareness(VASA)のサポート......................65 特別な構成................................................................................................... 66 プロキシ サーバー............................................................................66 Unisphere Client/Server および NAT................................................. 66 その他のセキュリティに関する考慮事項........................................................ 67 第5章 データ セキュリティの設定 69 格納データの暗号化の概要...........................................................................70 格納データの暗号化機能の起動................................................................... 71 Unisphere によるストレージ プロセッサの再起動.............................. 72 VNX OE for Block CLI によるストレージ プロセッサの再起動............... 72 暗号化ステータス.......................................................................................... 73 キーストア ファイルのバックアップ.................................................................. 74 データ イン プレース アップグレード................................................................74 ホット スペアの操作....................................................................................... 76 暗号化が有効になっている VNX へのディスク ドライブの追加.........................76 暗号化が有効になっている VNX からのディスク ドライブの取り外し................ 77 暗号化が有効になっている VNX でのシャーシと SP の交換............................ 77 第6章 セキュリティ保守 79 Control Station の ESRS................................................................................ 80 ストレージ プロセッサの ESRS デバイス クライアント....................................... 80 ESRS IP Client................................................................................................81 安全な保守設定(Block)................................................................................81 セキュア リモート サポートの考慮事項........................................................... 82 セキュリティ パッチ管理................................................................................. 82 マルウェア検出............................................................................................. 83 4 VNX1, VNX2 VNX のセキュリティ構成ガイド 目次 第7章 85 高度な管理機能 リモート管理.................................................................................................. 86 IPv6(インターネット プロトコル バージョン 6)による管理ポートのアドレス指定 ..................................................................................................................... 86 VLAN タグ機能のサポート.............................................................................. 86 SNMP 管理 SNMP かんり...............................................................................86 FIPS 140-2 の管理サポート............................................................................87 付録 A 89 安全な展開と使用の設定 安全な環境での Unisphere の実装................................................................90 付録 B TSL 暗号スイート 93 サポートされている TLS 暗号スイート............................................................. 94 付録 C LDAP ベースのディレクトリ サーバーの構成 99 Active Directory ユーザーとコンピュータ.......................................................100 Ldap Admin.................................................................................................101 付録 D VNX for File の CLI の役割に基づくアクセス 105 CLI の役割に基づくアクセスのセットアップ....................................................106 付録 E VNX for File の CLI セキュリティ構成オプション 115 パスワード ポリシーの構成.......................................................................... 116 パスワード ポリシーの対話形式での定義....................................... 116 特定のパスワード ポリシー定義の規定.......................................... 116 パスワードの有効期限の設定........................................................ 117 セッション タイムアウトの構成...................................................................... 117 セッション タイムアウト値の変更..................................................... 118 セッション タイムアウトの無効化..................................................... 118 セッション トークンの保護.............................................................................118 SSL プロトコルを使用したネットワークの暗号化と認証の構成.......................119 VNX for File での HTTPS の使用...................................................... 119 VNX for File での LDAP SSL の使用................................................. 119 デフォルトの SSL プロトコルの変更................................................. 119 デフォルトの SSL 暗号スイートの変更.............................................120 事後条件....................................................................................... 121 PKI の構成.................................................................................................. 121 ペルソナによって提供される証明書の作成..................................... 121 CA としての Control Station の使用................................................ 121 CA 証明書の取得........................................................................... 122 鍵セットと証明書要求の生成.......................................................... 122 CA への証明書要求の送信............................................................ 125 CA 署名済み証明書のインポート.................................................... 126 利用可能な CA 証明書の一覧表示................................................. 127 CA 証明書の入手........................................................................... 128 CA 証明書のインポート...................................................................130 新しい Control Station CA 証明書の生成........................................ 130 証明書の表示................................................................................ 131 Control Station CA 証明書の配布................................................... 132 VNX1, VNX2 VNX のセキュリティ構成ガイド 5 目次 お客様提供の Control Station 用証明書の要求とインストール........ 133 PKI の管理.................................................................................................. 135 鍵セットと証明書のプロパティの表示.............................................. 136 期限切れの鍵セットのチェック........................................................ 136 鍵セットのクリア............................................................................. 137 CA 証明書のプロパティの表示........................................................137 期限切れの CA 証明書のチェック....................................................138 CA 証明書の削除........................................................................... 138 ログイン バナーのカスタマイズ.................................................................... 139 MOTD の作成.............................................................................................. 139 匿名 root ログインの制限............................................................................ 140 ログインの失敗回数が指定した回数を超えた場合にアカウントをロックする..141 索引 6 VNX1, VNX2 VNX のセキュリティ構成ガイド 143 はじめに 製品ラインのパフォーマンスと機能を改善および強化するための努力の一環として、EMC ではハードウェアおよびソフトウェアのリビジョンを定期的にリリースしています。 そのため、 このドキュメントで説明されている機能の中には、現在お使いのソフトウェアまたはハードウ ェアのバージョンによっては、サポートされていないものもあります。 製品機能の最新情報 については、お使いの製品のリリース ノートを参照してください。 製品が正常に機能しない、またはこのマニュアルの説明どおりに動作しない場合には、 EMC の担当者にお問い合わせください。 このマニュアルで使用される特記事項の表記規則 EMC では、特別な注意を要する事項に次の表記法を使用します。 ☀椉 回避されなかった場合、死亡、または重傷につながる危険な状況を示します。 巵⛙ 回避されなかった場合、死亡、または重傷につながる可能性のある危険な状況を示しま す。 㽷㎞ 回避されなかった場合、軽微な、または中程度の怪我につながる可能性のある危険な状況 を示します。 抩䩴 負傷に関連しない作業を示します。 㽷 重要ではあるが、危険ではない情報を表します。 サポート EMC のサポート情報、製品情報、ライセンス情報は、次の場所で入手できます。 製品情報:ドキュメント、リリース ノート、ソフトウェアの更新、または EMC 製品、ライセン ス、サービスに関する情報については、EMC オンライン サポート(登録が必要です) http://Support.EMC.com をご覧ください。 トラブルシューティング:http://support.EMC.com から EMC オンライン サポートに進み ます。 ログインした後、該当する[製品ごとのサポート]ページを検索してください。 テクニカル サポート:テクニカル サポートおよびサービス リクエストについては、EMC オ ンライン サポート(http://Support.EMC.com)の EMC カスタマー サービスにアクセスしま す。 ログインした後、該当する[Support by Product]ページを検索し、[ライブ チャット]ま たは[サービス リクエストの作成]のいずれかを選択します。 EMC Online Support を通 してサービス要求を開始するには、有効なサポート契約が必要です。 有効なサポート契 約の入手方法の詳細や、アカウントに関する質問については、EMC 販売担当者にお問 い合わせください。 VNX1, VNX2 VNX のセキュリティ構成ガイド 7 はじめに 㽷 お客様の個別のシステム問題に担当者がすでに割り当てられている場合を除き、特定のサ ポート担当者へのお問い合わせはご遠慮ください。 ご意見 マニュアルの精度、構成および品質を向上するため、お客様のご意見をお待ちしておりま す。 本書についてのご意見を以下のメール アドレスにお送りください。 [email protected] 8 VNX1, VNX2 VNX のセキュリティ構成ガイド 第1章 はじめに この章では、VNX に実装されたさまざまなセキュリティ機能について簡単に説明します。 次のトピックが含まれます。 l l l l l 概要...................................................................................................................... 10 ユーザー インタフェースの選択..............................................................................10 用語...................................................................................................................... 10 関連機能に関する情報..........................................................................................12 Unisphere Management Suite 関連のホワイト ペーパー........................................ 13 はじめに 9 はじめに 概要 EMC® VNX®では、ユーザーとネットワーク アクセスの制御、システム アクセスと使用状況 の監視、暗号化されたデータの転送サポートを行う、多様なセキュリティ機能を実装します。 VNX for File に関連するセキュリティ機能は、Control Station と Data Mover に実装されま す。 VNX for Block に関連するセキュリティ機能は、ストレージ プロセッサに実装されます。 このドキュメントでは、安全なシステム運用とストレージ処理の構成に利用できる機能と構 成オプションについて説明します。 また、これらのセキュリティ機能を使用する理由、状況、 方法についても説明します。 VNX のセキュリティを理解するうえで、これらの機能の基本知 識を身につけることが重要になります。 このドキュメントは、VNX のマニュアル セットの一部であり、VNX の全体的な構成と運用を 担当する管理者を対象としています。 関連機能に関する情報(12 ページ)には、このドキ ュメントで解説されている機能に関する資料の一覧が記載されています。 このドキュメントは、次のソフトウェアを実行しているシステムに関連しています。 l VNX Operating Environment(OE)for File バージョン 7.1 および 8.x l VNX OE for Block バージョン 5.32 および 5.33 例外については、該当箇所に記載されています。 ユーザー インタフェースの選択 VNX では、サポート環境やインタフェース設定に応じてネットワーク ストレージを柔軟に管理 することができます。 このドキュメントでは、EMC Unisphere®ソフトウェアを使用してセキュリ ティ機能を設定および管理する方法について説明します。 VNX の構成と管理の詳細につい ては、Unisphere オンライン ヘルプを参照してください。 これらのタスクは、EMC Unisphere 管理インタフェースを使用しても実行できます。 ファイルベースのサービスとブロックベース のサービスでは、CLI(コマンド ライン インタフェース)が異なります。 VNX for Block システム の構成と管理で使用する CLI コマンドについては、「EMC VNX for Block コマンド ライン インタ フェース リファレンス」を参照してください。 VNX for File システムの構成と管理で使用する CLI コマンドについては、「EMC VNX for File コマンド ライン インタフェース リファレンス」を参照 してください。 また、CLI スクリプトを使用して VNX for File のセキュリティを構成する方法の 詳細については、セキュリティ構成に関連する操作での VNX for File CLI の使用(115 ペー ジ)を参照してください。 VNX の管理アプリケーションに関する最新の追加情報については、VNX リリース ノートを参 照してください。 用語 VNX 用語のリストについては、「VNX 用語集」を参照してください。 [ACE(アクセス制御エントリー):] Microsoft Windows 環境での ACL(アクセス コントロール リスト)の構成要素。 この構成要素により、ユーザーまたはグループのオブジェクトに対する アクセス権限が定義されます。 [ACL(アクセス制御リスト):] あるオブジェクトへのアクセスが許可されたユーザーとグルー プに関する情報を提供する ACE(アクセス コントロール エントリー)のリスト。 [アクセス ポリシー:] 一部のファイルシステムに対してマルチプロトコル アクセスを提供する ように構成された環境で、ユーザーが VNX for File システム上のファイルにアクセスした場 合は、どのアクセス制御方式(NFS 権限または Windows ACL、もしくはその両方)が適用さ れるかを定義したポリシー。 アクセス ポリシーは、server_mount コマンドを使用して設定し ます。また、このポリシーでは、ユーザーがファイルまたはディレクトリに対してどのようなア クションを実行できるかも決定します。 10 VNX1, VNX2 VNX のセキュリティ構成ガイド はじめに [認証:] ファイルやディレクトリなどのリソースまたはオブジェクトにアクセスを試行している ユーザーの ID を検証するプロセス。 [CA(認証局):] 公開鍵証明書にデジタル署名を行う、信頼できるサード パーティ。 [認証局の証明書:] ID(認証局)と公開鍵の間のデジタル署名付き関連性。公開鍵証明書 のデジタル署名を検証するためにホストで使用されます。 [コマンド ライン インタフェース(CLI):] データベースと Data Mover の管理と構成や VNX for File キャビネット コンポーネントの統計の監視など、各種タスクを実行する場合に、Control Station からコマンドを入力するためのインタフェース。 [CIFS(Common Internet File System):] Microsoft SMB(Server Message Block)に基づい たファイル共有プロトコル。 インターネットおよびイントラネットを介してファイル システムを 共有できます。 [Control Station:] VNX for File システムのハードウェアおよびソフトウェア コンポーネント。 システムを管理し、VNX for File コンポーネントの管理ユーザー インタフェースを提供しま す。 [Data Mover:] VNX for File のキャビネット コンポーネント。ストレージ デバイスからファイル を取得し、そのファイルをネットワーク上のクライアントが使用できるようにする独自のオペ レーティング システムを実行します。 [ディレクトリ サーバー:] コンピュータ ネットワークのユーザーとネットワーク リソースに関 する情報を格納および整理するサーバー。ネットワーク管理者は、このサーバーでリソース に対するユーザーのアクセスを管理できます。最も有名なオープンのディレクトリ サービス は X.500 です。 企業独自のディレクトリ サービスとしては、Microsoft の Active Directory が あります。 [HTTP(Hypertext Transfer Protocol):] World Wide Web 上のサーバーへの接続に使用さ れる通信プロトコル。 [HTTPS(Hypertext Transfer Protocol Secure):] SSL を使用した HTTP。 クライアントおよび サーバー システム間のすべてのネットワーク トラフィックは暗号化されます。 サーバーとク ライアントの ID を検証するオプションもあります。 通常、サーバー ID は検証されますが、ク ライアント ID は検証されます。 [Kerberos:] 認証、データ整合性、データ プライバシーの暗号化メカニズム。認証情報をエ ンコードするために使用されます。 Kerberos は NTLM(Netlogon サービス)と共存し、ソケッ ト キー暗号形式を使用して、クライアント/サーバー アプリケーションに対する認証を行いま す。 [LDAP ベースのディレクトリ:] LDAP によるアクセスを提供するディレクトリ サーバー。 LDAP ベースのディレクトリ サーバーの例としては、OpenLDAP、Oracle Directory Server Enterprise Edition を挙げることができます。 [LDAP(Lightweight Directory Access Protocol):] TCP/IP を使用して直接実行される業界 標準の情報アクセス プロトコル。 Active Directory および LDAP ベースのディレクトリ サーバ ーのプライマリ アクセス プロトコルです。 LDAP バージョン 3 は、IETF(Internet Engineering Task Force)の RFC 2251 において Proposed Standard の一連の文書で定義されています。 [LUN(論理ユニット番号):] SCSI コマンドを処理する SCSI または iSCSI オブジェクトの識別 番号です。 LUN とは、SCSI オブジェクトの SCSI アドレスの最後の部分です。 LUN は論理ユ ニットの ID ですが、この用語はしばしば論理ユニット自体のことを指す場合にも使用されま す。 [NFS(Network File System):] リモート ファイル システムへの透過的なアクセスを提供する 分散ファイル システム。 NFS を使用すると、すべてのネットワーク システムでディレクトリの 単一コピーを共有できます。 [OpenLDAP の場合:] LDAP ベースのディレクトリ サービスのオープン ソース実装。 [役割:] 秘密鍵とこの鍵に対応する公開鍵証明書を使用して、Data Mover の ID をサーバ ーまたはクライアントとして提供する手段。 各ペルソナには最大で 2 個の鍵セット(現在の 用語 11 はじめに ものと次のもの)を保持でき、現在の証明書の有効期限が切れる前に、新しい鍵と証明書 を生成できるようになっています。 [公開鍵証明書:] 認証局によって発行される電子 ID。 デジタル証明書には、受信者が証明 書の有効性を検証できるように、ユーザーまたはサービスなどの他のエンティティの ID(ホ スト名)、シリアル番号、有効期限、証明書所有者の公開鍵のコピー(メッセージとデジタル 署名の暗号化に使用)、証明書発行機関からのデジタル署名が含まれています。 詳細につ いては、X.509 規格を参照してください。 [PKI(公開鍵基盤):] 秘密鍵とこの鍵に対応する公開鍵証明書を公開鍵暗号形式で使用で きるように管理する手段。 [SNMP(Simple Network Management Protocol):] ネットワーク構成要素のネットワーク管 理ステーションとエージェント間で管理情報の通信に使用される方法。 [SSL(Secure Socket Layer):] 暗号化と認証を提供するセキュリティ プロトコル。 データを 暗号化し、メッセージとサーバーの認証を行います。 サーバーから要求された場合、クライ アント認証もサポートします。 [Storage Processor (SP):] 独自のオペレーティング システムを稼働する VNX for Block シ ステムのハードウェアおよびソフトウェア コンポーネント。システムを管理し、VNX for Block コンポーネントの管理ユーザー インタフェースを提供します。 [TLS(Transport Layer Security):] SSL の後継プロトコル。一般的な通信認証と TCP/IP ネッ トワークを使用した暗号化に対応しています。 TLS バージョン 1 は、SSL バージョン 3 とほ ぼ同等です。 [X.509:] デジタル証明書の定義に一般的に使用されている標準規格。 [XML API:]VNX for File をリモートで管理および監視するためのインタフェース。 このインタ フェースでは、XML 形式のメッセージおよびニュートラルなプログラミング言語が使用されて います。 関連機能に関する情報 このドキュメントで解説されている機能に関連する具体的な情報については、次の資料を参 照してください。 12 l 「EMC VNX for File コマンド ライン インタフェース リファレンス」 l 「EMC VNX Command Line Interface Reference for Block」 l 「File のマニュアル ページ」 l 「Parameters Guide for VNX 」 l 「VNX 用語集」 l 「VNX for File 管理アプリケーションのインストール 」 l 「VNX CIFS の構成と管理」 l 「VNX NFS の構成 」 l 「VNX でのマルチプロトコル環境の管理」 l 「VNX ネーム サービスの構成」 l 「VNX FileMover の使用方法」 l 「VNX for File のイベント通知の構成」 l 「VNX ネットワークの構成と管理」 l 「Celerra および VNX for File での監査ツールの構成および使用テクニカル ノート」 l 「EMC Secure Remote Support for VNX 」 l 「ESRS HTTPS リスナー サービスの SSL 証明書の管理テクニカル ノート」 VNX1, VNX2 VNX のセキュリティ構成ガイド はじめに l 「Using nas_stig Utility on VNX」 EMC VNX カスタマー向け資料一式は、EMC オンライン サポート用 Web サイト(http:// Support.EMC.com)から入手できます。 Web サイトにログインした後、[Support by Product]ページをクリックして必要な特定の機能に関する情報を見つけます。 LDAP に関する一般的な情報については、次の資料を参照してください。 l RFC 2307、「An Approach for Using LDAP as a Network Information Service」 Active Directory の LDAP および SSL 構成に関する具体的な情報については、次の資料を 参照してください。 l Microsoft サポート技術情報「How to enable LDAP over SSL with a third-party certification authority」(ID 321051) OpenLDAP および SSL 構成に関する具体的な情報については、OpenLDAP の Web サイト (www.openldap.org)を参照してください。 別の非 Active Directory LDAP ベースのディレクト リ サーバーを使用している場合は、該当するベンダーのマニュアルで LDAP および SSL 構 成に関する情報を参照してください。 Unisphere Management Suite 関連のホワイト ペーパー ホワイト ペーパーには、ドメインの管理を含む、Unisphere Management Suite の主要な側 面の説明が記載されています。 これらのホワイト ペーパーは、Unisphere 管理者およびユ ーザー向けの標準的なドキュメントを補完するものです。 関連ホワイト ペーパー(13 ペー ジ)に、これらのホワイトペーパーの一覧と概要を示します。 ホワイト ペーパーは、EMC オ ンライン サポート用 Web サイト(http://Support.EMC.com)のパスワードで保護された EMC の顧客とパートナー専用のエクストラネットに掲載されています。 表 1 関連ホワイト ペーパー ホワイト ペーパー 説明 EMC Unisphere: Unified Storage Management Solution このホワイト ペーパーには、EMC® Unisphere®(VNX システムの単一の管 理インタフェース)およびレガシーの CLARiX®システムと Celerra®システムの 概要が記載されています。 Unisphere のすべての機能、および Unisphere v1.0、v1.1、v1.1.25 でサポートされる機能の一覧が記載されています Domain このホワイト ペーパーには、Unisphere 1.1.25 ソフトウェアを使用した単一 Management with ストレージ ドメインおよび複数ドメインの EMC ストレージ システムの構成と VNX storage systems 管理についての説明が記載されています。 Unisphere Management Suite 関連のホワイト ペーパー 13 はじめに 14 VNX1, VNX2 VNX のセキュリティ構成ガイド 第2章 アクセス制御 この章では、VNX for File/Unified および VNX for Block システムに実装されたさまざまなア クセス制御機能について説明します。 次のトピックが含まれます。 l l l l l l l l l アクセス制御設定..................................................................................................16 管理アクセスのセキュリティ................................................................................... 16 認証...................................................................................................................... 17 許可...................................................................................................................... 22 コンポーネントのアクセス制御............................................................................... 25 データ セキュリティ設定......................................................................................... 27 パスワード ポリシー............................................................................................... 27 物理的セキュリティ統制.........................................................................................28 ログイン バナーと今日のメッセージ........................................................................28 アクセス制御 15 アクセス制御 アクセス制御設定 Unisphere プログラムは異なる戦略を使用してユーザーを認証します。これにより許可され ていないユーザーが VNX システムにアクセスすることを防ぎます。 これらの戦略について は、後続のセクションで説明します。 Unisphere と CLI はどちらも暗号化された認証通信を使用して同じレベルのセキュリティを 提供します。 管理アクセスのセキュリティ VNX ストレージ システムでは、システムへのアクセスに次の管理アプリケーションを利用で きます。 l Unisphere - VNX システムを構成、監視、および管理するために使用する 2 つの主要な アプリケーションの 1 つ。 Unisphere は、ブラウザで Control Station またはストレージ プロセッサ(SP)の IP アドレスを指定することで起動できる Web ベースの GUI です。 l CLI(コマンド ライン インタフェース) - VNX システムを管理するために使用するもう 1 つ の主要なプログラム。 CLI はブロック サービスとファイル サービス用に分かれていま す。 Block CLI は、VNX にネットワーク接続された任意のホストにインストールして実行 できます。 File CLI は、SSH を使用して Control Station へのリモート セッションを開くこ とでアクセスできます。 l USM(Unisphere Service Manager) - このソフトウェアを使用して、VMX システム ハード ウェアとソフトウェアを更新、インストール、保守し、さらにサービス プロバイダに連絡先 とシステム情報を提供することができます。 l Unisphere ホスト エージェントまたは Server Utility - これらのオプションのソフトウェア プログラムは SAN 接続ホスト上で実行されます。 主な機能は、ホストの属性と LUN/ボ リュームのマッピングのストレージ システムへの伝達を支援することです。 l Unisphere Initialization Utility - このオプションのソフトウェアを使用して、VNX for Block システムとネットワークの設定をワークステーションから初期化することができます。 l VIA(VNX Installation Assistant) - このソフトウェアを使用して、VNX Unified(Block と File)および VNX for File システムとネットワークの設定をワークステーションから初期化 することができます。 l SNMP 管理ソフトウェア - このオプションのソフトウェアを使用して、VNX システムの状態 を監視することができます。 l admsnap と admhost - これらのオプションの管理ユーティリティは、SnapView™および SAN Copy™レプリケーション オブジェクトの管理を支援します。 l リモート サポート サービス - VNX システムではリモート EMC サポートを利用できます。 多くのお客様は、このカスタマー サービス ソフトウェアを使用して、EMC がシステムの 構成と監視をサポートできるようにしています。 l Unisphere サーバー ソフトウェア - このソフトウェアは、このガイドに記載されているスト レージ管理機能を実行します。 このガイドでは、このソフトウェアはストレージ管理サー バーとも呼ばれます。 VNX SP および Control Station にプリインストールされています。 このソフトウェアはオプションで Windows XP または Windows Server にインストールす ることができます。 VNX 管理のコンポーネント(17 ページ)に示すように、さまざまなコンポーネントがインバ ンドとバンド外の両方で VNX システムと通信します。 インバンド通信は、VNX システムへの データ接続を介して送信されますが、バンド外通信は VNX システムへの管理接続を介して 送信されます。 16 VNX1, VNX2 VNX のセキュリティ構成ガイド アクセス制御 図 1 VNX 管理のコンポーネント VNX への管理接続を許可されたユーザーとアプリケーションに制限することが不可欠です。 管理アクセスを保護するために、VNX は、次の機能を実装します。 l 認証 - リクエストしているユーザーを識別します。 l 許可 - リクエスタがリクエストを実行するための権限を持っているかどうかを確認しま す。 l プライバシー - データをスヌーピング(のぞき見)から保護します。 l 信頼 - 通信相手の ID を確認します。 l 監査 - 誰がいつ何をしたかの記録を保持します。 認証 VNX システム上の管理アプリケーションは、認証を使用して許可されていないユーザーがシ ステムにアクセスすることを防止します。 Unisphere の認証 Unisphere は、ユーザー名とパスワードを使用してユーザーを認証します。 Unisphere で は、管理者が使いやすいダイアログ ボックスを使用してユーザー アカウントを作成すること ができます。 コンピュータのブラウザを使用して Unisphere に接続すると、Java アプレットが ブラウザに配信されます。 アプレットは、SSL/TLS を使用し、VNX 上でポート 443 経由のス トレージ管理サーバー(ストレージ管理機能を実行するソフトウェア)との安全な接続を確立 します。 㽷 ブラウザーに https://とは表示されませんが、接続は保護されています。 EMC では、https://<vnx_ip>(ポート 443)を使用して Unisphere に接続することを推奨しま す。ただし、VNX for Block の場合は、http://<vnx_ip>(ポート 80)を使用して接続することが できます。 認証 17 アクセス制御 㽷 Control Station では、ポート 80 に送信されるすべての HTTP 管理トラフィックは、HTTPS ポ ート(443)に自動的にリダイレクトされます。 セッションを開始するときには、Unisphere によって、ユーザー名、パスワード、および適用 範囲(ローカル、グローバル、LDAP)の入力を求められます。 これらの認証情報は、暗号化 されてストレージ管理サーバーに送信されます。 次に、ストレージ管理サーバーが、ユーザ ー アカウント情報内で一致するユーザーを検索します。 一致するユーザーが見つかった場 合は、認証されたユーザーとして識別されます。 㽷 認証に失敗した場合、同じ IP アドレスから最大 6 回まで認証を再試行することができます。 6 回目の試行も失敗した場合、同じ IP アドレスからの認証の試行は 4 分間ブロックされま す。つまり、システムは 4 分間にわたりその後の試行に応答しません。 最初の認証が成功 するか、前の失敗の 4 分後に新しい認証の試行が成功した場合、失敗カウントはクリアさ れます。 VNX ゲートウェイを除いて、ストレージ管理サーバーは他のストレージ管理サーバーと通信 するときにも認証と暗号化を使用します。 ストレージ管理サーバー間の通信は、情報がドメ イン全体にレプリケートされるときに実行されます。 たとえば、ユーザー アカウント情報が変 更された場合、この情報はドメイン内のストレージ管理サーバーの各インスタンスにレプリケ ートされます。 VNX for Block の CLI の認証 VNX for Block の CLI では、コマンドごとにユーザー資格情報を渡す必要があります。 ユー ザー資格情報を渡すには、次のいずれかの方法を使用します。 l コマンドごとに認証情報を指定することができます。 l addusersecurity コマンドを使用して、ホスト上にユーザー資格情報が含まれるフ ァイルを作成することができます。 認証情報を指定せずに VNX for Block の CLI コマン ドを入力した場合、CLI がこのファイルから認証情報を取得して、コマンドと共に認証情 報を送信します。 CLI コマンドと共に認証情報を明示的に指定しない場合、このセキュリティ ファイルに有 効な Unisphere 認証情報が含まれている必要があります。 このファイルはユーザーの ホーム ディレクトリに保存され、その内容は暗号化されます。 このファイルおよびその 暗号化キーは、アクセス制御リスト(ACL)とコンピュータに固有なパス フレーズによって 保護されます。 VNX for File の CLI の認証 VNX for File の CLI では、SSH を使用してリモート ターミナルによって Control Station に接 続し、ローカル アカウントまたはグローバル アカウント、または SSH を使用する LDAP 認証 によるアカウントを使用して Control Station にログインする必要があります。 Control Station には 2 個のデフォルトのローカル アカウントがあります(デフォルトのアカウント (21 ページ)を参照してください)。また、このために新しいローカル アカウントを作成する こともできます。 Control Station CLI を使用して、システムにログインします。 ドメインにマップされたユーザーが Control Station CLI にログインする場合、入力するドメイ ン名は、VNX OE for File によって認識されているドメイン名または完全修飾ドメイン名と一致 している必要があります。 LDAP ドメインにマップされたユーザーに対して、サポートされているドメインにマップされた ユーザーのログイン形式は次のとおりです。 18 VNX1, VNX2 VNX のセキュリティ構成ガイド アクセス制御 l <domain name>\<user>(例:mycompany\anne) l <user>@<domain name>(例:anne@mycompany) ドメイン名は、完全修飾ドメイン名として指定できます。 次に例を挙げます。 l <fully qualified domain name>\<user>(例:mycompany.com\anne) l <user>@<fully qualified domain name>(例:[email protected]) 㽷 ユーザーは 1 個のドメインにのみログインできます。 そのため、mycompany と mycompany.com は同じドメインとして扱われます。 ストレージ ドメインにマップされたユーザーに対して、サポートされているドメインにマップさ れたユーザーのログイン形式は次のとおりです。 l storageDomain\<user>(例:storageDomain\anne) l <user>@storageDomain(例:anne@storageDomain) 㽷 storageDomain は大文字と小文字の区別があるキーワードで変数ではありません。正確に そのまま入力する必要があります。 ユーザーの適用範囲 ストレージ管理サーバーでユーザー アカウントに次の 3 つの適用範囲のいずれかを設定 できます。 l ローカル - このユーザーは単一の VNX にのみアクセスできます。 l グローバル - このユーザーは Unisphere ドメイン全体にアクセスできます。 l LDAP - このユーザーは、LDAP ディレクトリ内にアカウントをも持ち、LDAP サーバーを使 用してユーザーを認証する任意のストレージ システムにアクセスできます。 単一の VNX へのアクセスが必要な場合はローカル範囲が最も効果的です。 ユーザーにグ ローバル範囲を割り当てると、1 つのアカウントを使用して Unisphere ドメイン内のすべての VNX ストレージ システムにアクセスできるので管理が容易になります。 ユーザーに LDAP 範囲を割り当てると、アカウントがストレージ システムに固有ではなくなるため、最も柔軟性 が高くなります。 適用範囲が異なれば重複するユーザー名を使用できます。 たとえば、グローバル範囲の 「Sarah」というユーザーは、LDAP 範囲のユーザー「Sarah」とは異なります。 LDAP または Active Directory を使用した認証 ストレージ管理サーバーは、LDAP または LDAPS を使用し、Active Directory(Active Directory は Microsoft のディレクトリ サーバーです)などのディレクトリ サーバーに対してユ ーザーを認証することができます。 VNX ストレージ システムを管理するために別個の認証 情報セットが必要ないので、LDAP サーバーに対する認証により、管理が簡素化されます。 また、ストレージ環境とサーバー環境に対してエンタープライズ パスワード ポリシーを同様 に適用できるため、安全性が高まります。 LDAP ドメインの管理(File/Unified および Block) VNX ドメインでは、File/Unified と Block の両方のセットアップで同じ LDAP サーバーが使用 されます。 LDAP ドメインを管理するには、Unisphere にログインし、[すべてのシステム > ドメイン > ユーザー](タスク リスト)>[LDAP ドメインの管理]を使用して、サーバー接続を 定義し、関連する証明書を受け入れるか検証し、ユーザー グループの役割をマッピングし ます。 別の方法として、システムを選択し、[設定 > セキュリティ設定](タスク リスト)> [LDAP ドメインの管理]を使用できます。 このセットアップを 1 回実行すると、LDAP アカウン ユーザーの適用範囲 19 アクセス制御 トで Unisphere または CLI へのログインを認証できます。 LDAP サーバーへの接続のセット アップ方法については、Unisphere オンライン ヘルプを参照してください。 LDAP ドメイン(ゲートウェイ)の管理 VNX ゲートウェイ システムの LDAP 構成を管理するには、Unisphere にログインしてシステ ムを選択し、[設定 > セキュリティ設定](タスク リスト)>[LDAP ドメインの管理]を使用し て、LDAP ベースのディレクトリ サーバーにアクセスできるように Control Station を構成しま す。 LDAP サーバーへの接続のセットアップ方法については、Unisphere オンライン ヘルプ を参照してください。 LDAP サーバーの接続情報を指定して Unisphere を構成し、Unisphere の役割を LDAP グ ループにマッピングする設定を行うこのセットアップを 1 回実行すると、LDAP アカウントで Unisphere または CLI へのログインを認証できます。 VNX ゲートウェイ システムの場合、 LDAP 構成情報は、VNX ゲートウェイ システムに固有で、他のシステムにレプリケートされま せん。 LDAP サービスの構成オプション Unisphere または CLI で LDAP ユーザーを認証できるようにするためには、LDAP サービスと の通信を構成する必要があります。 Unisphere では、LDAP サーバーの IP アドレスと LDAP 接続パラメータを追加できます。 LDAP 接続パラメータを LDAP サービス管理者から入手す る必要があります。 Unisphere で LDAP サービスを構成する場合は、次のベスト プラクティ スに留意してください。 l LDAP サービスとの高可用性通信を実現するには、2 台の LDAP サーバーとのサービス 接続を作成します。 1 台のサーバーが使用できない場合、ストレージ管理サーバーは セカンダリ LDAP サーバーに認証リクエストを送信します。 l 最高レベルのセキュリティを実現するには、LDAPS プロトコルを使用するサービス接続 を構成します(LDAP サーバーがこれをサポートする場合)。 これにより、ストレージ管理 サーバーと LDAP サーバー間のすべての通信が SSL/TLS で暗号化され、ユーザー資 格情報が平文で送信されることはありません。 LDAP 構成は、各 Unisphere ドメイン内で 1 回だけ行います。この構成は、ドメイン内の他 のすべてのノードにレプリケーションされます。 役割のマッピング LDAP サービスとの通信が確立されたら、特定の LDAP グループを Unisphere の役割にマッ ピングして、Unisphere へのアクセスを提供する必要があります。 LDAP サービスでは、認 証を実行するだけです。 認証された後、そのユーザーの権限は、割り当てられた Unisphere の役割によって判断されます。 最も柔軟性のある構成は、Unisphere の役割に 対応した LDAP グループを作成することです。 これにより、LDAP グループのメンバーを管理 することによって Unisphere へのアクセスを制御できます。 㽷 SP(ストレージ プロセッサ)に関連する LDAP ユーザー レベルの役割のマッピングおよび Unisphere の役割は、VNX for Block CLI を使用して構成できます。 詳細については、「EMC VNX for Block コマンド ライン インタフェース(CLI)リファレンス」を参照してください。 たとえば、「Storage Admins」という名前の LDAP グループがあり、Bob と Sarah がそのメン バーになっているとします。 また、「Storage Monitors」という名前の別の LDAP グループが あり、Mike と Cathy がメンバーになっているとします。 「Storage Admins」グループを Unisphere 管理者の役割にマッピングすると、Bob と Sarah にストレージ システムの完全な 管理権限を付与できます。 「Storage Monitors」グループを Unisphere オペレータの役割に マッピングすると、Mike と Cathy はストレージ システムに読み取り専用でアクセスできるよ うになります。 6 カ月後に Mike がより信頼度の高い管理者になった場合、彼を「Storage 20 VNX1, VNX2 VNX のセキュリティ構成ガイド アクセス制御 Admins」LDAP グループに追加するだけで、ストレージ システムに対する完全なアクセス権 (管理者の役割)を付与できます。 認証情報のキャッシュとアカウントの同期(Block) ストレージ管理サーバーは、LDAP ユーザーが 1 度認証されると、その認証情報をローカル にキャッシュします。 このキャッシュによって、認証要求によるレーテンシーが解消され、 LDAP サービスへのトラフィックを最小限に抑えられるとともに、ユーザーの操作性が向上し ます。 ストレージ管理サーバーでは、ログイン時だけではなく、ストレージ システムの構成を 変更するすべてのコマンドについて認証が行われることに注意してください。 キャッシュによ り、LDAP サーバーへの認証リクエストが繰り返されなくなります。 デフォルトでは、Unisphere は 24 時間ごとにローカル キャッシュを消去し、LDAP サーバー 上のアカウントとの同期化を実行します。 ユーザー アカウントの変更が多く、クレデンシャ ル情報をフラッシュする必要がある環境では、パフォーマンスに大きな影響を与えることな く、この同期化の間隔を 30 分ごとに変更することが可能です。 または、手動による同期化 を行い、ローカル キャッシュを即座に消去することもできます。 これは、離職した従業員の ストレージ システムへのアクセスを直ちに停止する場合に便利です。 デフォルトのアカウント 管理アクセスとサービス アクセスのためのデフォルトのアカウントが存在します。 デフォルトの管理アカウント - デフォルトの管理アカウントの詳細および関連するパスワード の変更方法については認証構成(21 ページ)を参照してください。 デフォルトのサービス アカウント - EMC サービス担当者がアクセスするための管理ポートと サービス ポートのデフォルトの組み合わせが存在します。 EMC では、管理ポートのユーザ ー名/パスワードの組み合わせを変更することを強く推奨します(詳細については、安全な 保守設定(Block)(81 ページ)を参照してください)。 サービス担当者にはユーザー名とパ スワードが必要なので、この情報を開示できるように準備してください。 認証構成 VNX Unified/File と VNX for Block システムではセキュリティの初期化の方法が異なります。 VNX Unified/File システムには、工場出荷時に次の管理アカウントがインストールされま す。 root - VNX for File のローカル アカウントで、Control Station で root レベルの権限を提 供します。 l nasadmin - VNX for File のローカル アカウントで、Control Station で管理者レベルの権 限を提供します。 l sysadmin - グローバル システム アカウントで、VNX for File と VNX for Block の両方に 対する管理者レベルの権限を提供します。 システム アカウントは、ブロック サービスとファイル サービスの間の内部通信に必要な特別 なグローバル アカウントです。 VNX Unified/File システムには、少なくとも 1 つのシステム アカウントが必要です。 別のグローバル管理者アカウントまたはグローバル セキュリティ管 理者アカウントが使用可能になっていない限り、このシステム アカウントを削除することは できません。 l VNX Installation Assistant(VIA)は、VNX Unified/File システムを初期化するためのユーティ リティです。 EMC では、VIA を使用して初めて VNX Unified/File システムを初期化するとき に 3 つのアカウントのデフォルトのパスワードを変更することを推奨します。 VNX for Block システムにはデフォルトの管理アカウントはありません。 Unisphere Initialization Wizard は、VNX for Block システムの初期化に使用するユーティリティです。 次の方法で VNX for Block システムのセキュリティを初期化することができます。 l ユーザーが、Unisphere Initialization Wizard を使用してシステムを初期化するときにグ ローバル アカウントの作成を選択できます。 デフォルトのアカウント 21 アクセス制御 l ユーザーが、Unisphere に初めてログインするときにグローバル アカウントを作成でき ます。 VNX for Block システムでは、システム アカウントは、特に必要ないのでデフォルトでは作成 されません。しかし、別の VNX Unified/File システムを VNX for Block システムのローカル ド メインに追加するには、システム アカウントが必要なので、必要に応じてシステム アカウン トを作成するように求めるプロンプトが表示されます。 すべての VNX システム(VNX Unified/File および VNX for Block)では、少なくとも 1 つのグ ローバル アカウントが必要です。 このアカウントは、「管理者」または「セキュリティ管理者」 の役割を持っている必要があります。 LDAP 認証が必要な場合は、LDAP サーバーを構成 し、他のグローバル アカウントまたはローカル アカウントも作成することができます。 認証の構成に関するセキュリティ機能は、Unisphere または Secure CLI から実行できます。 認証せずに実行するユーザーのアクション VNX システムは、認証せずに実行するすべてのアクションを許可しません。 コンポーネント認証(Block) iSCSI イニシエータで使用する iSCSI の主要な認証メカニズムは、CHAP(Challenge Handshake Authentication Protocol)です。 CHAP は、ターゲットでのログイン時および接続 中のさまざまな機会に、iSCSI イニシエータを認証するために使用する認証プロトコルです。 CHAP セキュリティは、ユーザー名とパスワードで構成されます。 イニシエータとターゲットの CHAP セキュリティを構成して有効にすることができます。 Unisphere にログインし、[すべて のシステム > システムの一覧]を使用し、CHAP を構成するストレージ システムのエントリ ーを右クリックして、[iSCSI > CHAP 管理]を使用します。 CHAP を有効にするには、システ ムを選択し、[設定> ネットワーク > ブロックの設定]を使用します。 CHAP を構成して有効 にする方法の詳細については、Unisphere のオンライン ヘルプを参照してください。 CHAP プロトコルでは、イニシエータの認証を行う必要があります。 ターゲットの認証(双方 向 CHAP)はオプションです。 許可 ストレージ管理サーバーは、ユーザーの役割を基にしてユーザーのアクティビティを許可し ます。 役割は、アクセス権の集まりであり、アカウント管理者がアクセス権を割り当てるため の簡単なツールとして使用できます。 Unisphere と VNX for File CLI は、ユーザーの役割を 基にしてユーザーのアクティビティを許可します。 VXN for Block CLI は、ユーザーの認証情 報による認証を基にしています。 Unisphere には、8 種類の主要な役割(オペレータ、ネット ワーク管理者、NAS 管理者、SAN 管理者、ストレージ管理者、管理者、セキュリティ管理 者、VM 管理者)および 3 つのデータ保護の役割(ローカル データ保護、データ保護、デー タ リカバリ)があります。 㽷 Unisphere の主要な役割とデータ保護の役割には、グローバルまたはローカルの適用範囲 を指定できます。 Unisphere の主な役割 次のような主な役割があります。 22 l オペレータ - ストレージおよびドメインの操作に関する読み取り専用の権限。セキュリテ ィ操作に関する権限はありません。 l ネットワーク管理者 - オペレータのすべての権限と、DNS、IP 設定、SNMP を構成する権 限があります。 VNX1, VNX2 VNX のセキュリティ構成ガイド アクセス制御 l NAS 管理者 - File 操作に関するすべての権限があります。 Block 操作とセキュリティ操 作に関するオペレータ権限があります。 l SAN 管理者 - Block 操作に関するすべての権限があります。 File 操作とセキュリティ操 作に関するオペレータ権限があります。 l ストレージ管理者 - File 操作と Block 操作に関するすべての権限があります。 セキュリ ティ操作に関するオペレータ権限があります。 l セキュリティ管理者 - ドメインを含むセキュリティ操作に関するすべての権限がありま す。 File 操作と Block 操作に関するオペレータ権限があります。 l 管理者 - File 操作、Block 操作、セキュリティ操作に関するすべての権限があります。 こ の役割は最も権限が高い役割です。 l VM 管理者 - VMware の VASA(vSphere Storage APIs for Storage Awareness)を使用し て、vCenter 経由で、VNX システムの基本的なストレージ コンポーネントを表示および 監視することができます。 㽷 セキュリティ管理者とストレージ管理者の権限を合わせたものが管理者の権限に相当しま す。 セキュリティおよびシステムの整合性に関するベスト プラクティスとして、スーパーユーザー (Unisphere の管理者)が、日常的な運用を行うときにすべての管理権限を持たないように する必要があります。 許可される操作を別々のアカウントにセグメント化するときにはセキ ュリティ管理者の役割を使用するようにします。 管理者の役割をセキュリティ管理者の役割 とストレージ管理者の役割に分割することによって、ストレージ管理者アカウントはストレー ジ関連の操作の実行のみを許可され、セキュリティ管理者アカウントは、ドメインおよびセキ ュリティ関連の機能の実行のみを許可されます。 セキュリティ管理者の役割を使用すること で、完全な権限を持つアカウントを 1 つに減らし、日常的な運用のための職務を分離するこ とができます。 Unisphere では、ユーザー アカウントを作成する必要があり、ユーザー アカウントは、ユー ザー名、役割、およびスコープの固有の組み合わせによって識別されます。 この機能によ り、ユーザー アカウントをセットアップするときの柔軟性が向上します。 ほとんどの IT 担当 者は、グローバル オペレータ アカウントを割り当てられると予想されるので、ドメイン内のす べてのストレージ システムを監視することができます。 また、構成することを許可されてい る特定のストレージ システムに対するローカル ストレージ管理者アカウントを IT 担当者に 割り当てることもできます。 それぞれの責務に適した権限を持つグローバル ユーザー アカウントを作成できます。 ロー カル ドメインでグローバル ユーザー アカウントを作成するには、Unisphere にログインし、 [すべてのシステム > ドメイン > ユーザー](タスク リスト)>[グローバル ユーザーの管 理]を使用します。 あるいは、システムを選択した後、[設定 > セキュリティ > ユーザー管 理](タスク リスト)を選択し、[グローバル ユーザー]を使用します。 選択したシステムがロ ーカル ドメイン内のシステムの場合は、[設定]からしかグローバル ユーザーの機能にアク セスできません。 それぞれの責務に適した権限を持つ File および Block システムのローカル ユーザー アカ ウントを作成できます。 Block 用のローカル ユーザーは、ローカル システム上の Block 機 能のみ管理できます。 同様に、File 用のローカル ユーザーは、ローカル システム上の File サーバー機能のみ管理できます。 新しい Block 用のローカル ユーザー アカウントを作成 するには、Unisphere にログインし、VNX for Block システムを選択して、[設定 > ユーザー 管理](タスク リスト)を選択し、[ロック用のローカル ユーザー]を使用します。 新しい File 用のローカル ユーザー アカウントを作成するには、Unisphere にログインし、VNX for File シ ステムを選択して、[設定 > ユーザー管理](タスク リスト)を選択し、[ファイル用のローカ ル ユーザー]を使用します。 Unisphere の主な役割 23 アクセス制御 ユーザー アカウント作成の詳細については、Unisphere のオンライン ヘルプを参照してくだ さい。 データ保護の役割 データ保護(レプリケーション)タスクは、多くの場合サード パーティの担当者によって実行さ れます。 以前のリリースではデータ保護タスクを実行するために、ユーザーがストレージ管 理者レベルの権限を持っている必要がありました。しかし、サード パーティの担当者にこの レベルのアクセス権を許可するとセキュリティ上の問題が発生する可能性があります。 この 問題を解決するために、VNX システムには次の 3 つのデータ保護の役割が用意されてい ます。 㽷 これらの役割のどれを使用する場合でも、ユーザーがスナップショット、クローン、SAN Copy セッション、ミラーなどの新しいデータ保護オブジェクトを作成することはできません。 ユーザ ーは、既存のデータ保護オブジェクトの制御のみを行うことができます。 ユーザーは自分が 制御できないオブジェクトのドメインを表示できます。これにより環境をよく理解することがで きます。 l ローカル データ保護 - SnapView(スナップショットとクローン)および Snapsure(チェック ポイント)タスクのみを実行する権限を持ち、スナップショットのロールバックやクローン のリバース同期などのリカバリ操作は実行できません。 また、新しいストレージ オブジ ェクトを作成する権限もありません。 l データ保護 - すべてのローカル データ保護権限タスク、MirrorView タスク、SAN Copy タ スクが含まれますが、セカンダリのプロモートやミラーのフラクチャなどのデータ リカバリ 操作は実行できません。 また、新しいストレージ オブジェクトを作成する権限もありませ ん。 l データ リカバリ - ローカル データ保護とデータ保護の役割のすべての権限、およびデー タ リカバリ タスクを実行する権限が含まれますが、新しいストレージ オブジェクトを作成 する権限はありません。 データ保護の役割の機能(24 ページ)に、データ保護タスクとそれらのタスクを実行する 権限を持つ役割の一覧を示します。 役割に基づくアクセスを使用して、特定のユーザーが 実行できる VNX for File の CLI コマンド(タスク)を決める方法については、VNX for File の CLI の役割に基づくアクセス(105 ページ)を参照してください。 表 2 データ保護の役割の機能 タスク ローカルなデータ データ保護 保護 データ リカバリ (整合性のある)スナップ セッションの 開始 Yes Yes Yes (整合性のある)スナップ セッションの 停止 Yes Yes Yes スナップショット LUN に対するセッショ ンのアクティブ化 Yes Yes Yes スナップショット LUN のセッションの非 アクティブ化 Yes Yes Yes クローンの同期 Yes Yes Yes [SnapView] 24 VNX1, VNX2 VNX のセキュリティ構成ガイド アクセス制御 表 2 データ保護の役割の機能 (続き) タスク ローカルなデータ データ保護 保護 データ リカバリ クローンを切り離す Yes Yes Yes Snap セッションのロール バック いいえ いいえ Yes クローンのリバース同期 いいえ いいえ Yes ミラー/コンシステンシ グループの同 期化 いいえ Yes Yes ミラー/コンシステンシ グループのフラ クチャ いいえ いいえ Yes 非同期ミラーの更新パラメータの制御 いいえ Yes Yes 非同期ミラーの更新間隔の変更 いいえ Yes Yes ミラー/コンシステンシ グループのスロ いいえ ットル Yes Yes 同期または非同期セカンダリ ミラー/ コンシステンシ グループのプロモート いいえ いいえ Yes セッションの開始 いいえ Yes Yes セッションの停止 いいえ Yes Yes セッションの一時停止 いいえ Yes Yes セッションの再開 いいえ Yes Yes セッションにマークを付ける いいえ Yes Yes セッションのマーク解除 いいえ Yes Yes セッションの検証 いいえ Yes Yes セッションのスロットル いいえ Yes Yes [MirrorView] [SAN Copy] コンポーネントのアクセス制御 コンポーネントのアクセス制御設定により、外部または内部のシステムやコンポーネントに よる製品へのアクセスが定義されます。 コンポーネント認証 ストレージ グループは、LUN のアクセス制御メカニズムです。 LUN のグループを特定のホ ストによるアクセスから分離します。 ストレージ グループを構成するときには、1 つ以上のホ ストによってのみ使用される LUN のセットを指定します。 これにより、ストレージ システムに よって、そのホストから LUN へのアクセスが強制されます。 指定された LUN は、ストレージ グループ内のホストにのみ提示され、ホストはそのグループ内の LUN のみを参照できます (LUN マスキング)。 ストレージ グループを構成するには、システムを選択し、[ホスト > スト コンポーネントのアクセス制御 25 アクセス制御 レージ グループ]を使用します。 ストレージ グループの構成の詳細については、Unisphere のオンライン ヘルプを参照してください。 IP フィルタリングを使用すると、管理者やセキュリティ管理者が、指定した IP アドレスへの管 理アクセスが制限されるようにストレージ システムを構成できるので、セキュリティの階層が 増加します。 これらの設定は、ローカル ストレージ システムに適用することも、ストレージ システムのドメイン全体に適用することもできます。 IP フィルタリングの詳細については、安 全な保守設定(Block)(81 ページ)を参照してください。 VNX for File の CLI の役割に基づくアクセス コマンド ライン インタフェースへのアクセスに使用する管理ユーザー アカウントは、特定の 権限(役割とも呼ばれる)に関連づけられます。 役割は、ユーザーが特定の VNX オブジェク トに対して実行できる権限(操作)を定義します。 CLI、EMC Unisphere™、XML API を使用し て VNX にアクセスするユーザーに対して、事前に定義された役割を選択したり、ユーザー に特定の権限を与える独自の役割を定義したりする機能がサポートされています。 役割に基づくアクセスを使用して、特定のユーザーが実行できる VNX for File の CLI コマン ドを決める方法については、VNX for File の CLI の役割に基づくアクセス(105 ページ)を参 照してください。 UNIX ユーザーに対する Windows スタイルの認証情報 VNX for File では、一般的な Windows スタイル(NT)の認証情報を作成できます。 そのた め、ユーザーはファイル アクセス プロトコルに関係なく同じ認証情報を持つことになり、アク セス コントロールの一貫性が確保されます。 この機能を構成する方法については、「VNX で のマルチプロトコル環境の管理」を参照してください。 セッション トークンの保護 ユーザーと Unisphere 間の接続、および 2 つの VNX for File システム間の接続では、SHA1 を使用してチェックサムを生成することで、ログインしたユーザーを識別するためのセッショ ン トークン(Cookie)を保護します。チェックサムを生成するために使用される SHA1 秘密値 は、インストール時にランダムに設定されます。ただし、セキュリティを強化するために、デフ ォルトの SHA1 秘密値を変更できるようになっています。 この値を変更すると、既存のセッ ション トークン(Cookie)は有効でなくなり、Unisphere の現在のユーザーはログインし直す 必要があります。 Control Station プロパティを変更するには、ユーザーが root である必要 があります。 詳細については、セッション トークンの保護(118 ページ)を参照してください。 CIFS Kerberos 認証 CIFS Kerberos にんしょう VNX for File では、デフォルトで Kerberos 認証と NTLM 認証の両方が許可されています。 Windows 環境では Kerberos 認証方法が推奨されるため、NTLM 認証を無効化する場合が あります この設定の構成方法については「server_cifs」 man page を参照し、認証について は「VNX CIFS の構成と管理」を参照してください。 NFS セキュリティ設定 一般的に、NTF ファイル共有プロトコルは脆弱性があると考えられていますが、次の構成設 定を使用して NFS のセキュリティを向上させることができます。 l 一部(またはすべて)のホストに対して読み取り専用アクセスを定義する l 特定のシステムまたはサブネットへの root アクセスを制限する l そのエントリーに対応するファイル システムにマウントする権利をクライアントが所有し ていない場合は、エクスポートおよびマウント情報を非表示にする また、強力な認証が必要な場合は、Kerberos を使用する Secure NFS を構成できます。 こ れらの設定については、「VNX NFS の構成」を参照してください。 26 VNX1, VNX2 VNX のセキュリティ構成ガイド アクセス制御 デフォルトでは、NFS エクスポートはすべて表示されます。 NFS エクスポートを非表示にする には、server_param コマンドを使用して、マウント ファシリティ パラメーターの [forceFullShowmount]値を変更する必要があります。 NFS および CIFS のアクセス ポリシー VNX for File のカスタマイズ可能な一連のアクセス モードにより、現在の環境に合わせて、 NFS と CIFS アクセス間の最適な対話を選択できるようになります。 この機能を構成する方 法については、「VNX でのマルチプロトコル環境の管理」を参照してください。 セキュリティ属性を保持する方法、および NFS と CIFS ユーザー間の対話のタイプを選択で きます。対話のタイプには、次のものがあります。 l NATIVE l UNIX l NT l 保護 l MIXED l MIXED_COMPAT NFSv4 を使用している場合、MIXED アクセス ポリシーが必要になります。 データ セキュリティ設定 データ セキュリティ設定を使用して、製品によって永続的に保存されたデータが不正な方法 で開示されることを防止するための管理方法を定義できます。 データの整合性 VNX システムは、いくつかの独自のデータ整合性機能を使用してシステム上の顧客データ を保護します。 格納データの暗号化 格納データの暗号化機能(D@RE)(この機能は、VNX Operating Environment(OE)for Block バージョン 5.33 以降を実行している VNX システムのみに関連しています)の詳細について は、「データ セキュリティの設定(69 ページ)」を参照してください。 格納データの暗号化の詳細については、EMC オンライン サポート用 Web サイト(http:// Support.EMC.com)の「企業内の保存されたデータの暗号化へのアプローチ」を参照してくださ い。 パスワード ポリシー 強力なパスワードは、セキュリティ戦略の重要な要素となります。 すべての VNX for File の ローカル ユーザーに十分強力なパスワードを確実に使用させるため、ユーザー定義のパス ワードに一定の複雑性を適用するパスワード品質ポリシーを定義できます。 この機能は、ド メインにマップされているユーザーには適用されません。これらのユーザーのパスワード は、ドメイン内のポリシーで管理されます。 デフォルトのパスワード ポリシーには、次の要件があります。 l パスワードは 8 文字以上にする l 許容される新しいパスワードを 3 回以内に定義しないと、コマンドが失敗する NFS および CIFS のアクセス ポリシー 27 アクセス制御 l 前のパスワードで使用されていない文字を 3 文字以上含める l 新しいパスワードには 1 文字以上の数字を含める 㽷 現在、パスワードでの特殊文字(!、@、#、$、%、&、^、*)や大文字/小文字の使用に関する 要件はありません。 VNX for File でのデフォルトのパスワード有効期限は 120 日です。 㽷 パスワード品質ポリシーを変更した場合、その変更はポリシーの改訂後に定義されたパス ワードにのみ適用されます。 物理的セキュリティ統制 ストレージ システムを配置するエリアは、VNX システムの物理的セキュリティを確保できる ように選択または構成する必要があります。 たとえば、十分なドアとロックを用意すること、 システムに対して監視下に置かれた許可された物理アクセスだけを認めること、信頼性の 高い電源を使用すること、標準的な配線のベスト プラクティスに従うことなど、基本的な対 策を行います。 さらに、シリアル ポート接続には特別な注意が必要です。 EMC および当社のサービス パー トナーは、ストレージ プロセッサへのシリアル接続を使用して緊急アクセスを行うことができ ます。 安全な保守設定(Block)(81 ページ)に記載されているように管理ポートへの許可 されたアクセスを管理すること、およびストレージ システムを物理的に安全な場所に設置す ることはお客様の責任です。 これには、緊急保守用のシリアル ポートを含む、ストレージ プ ロセッサへの物理的なアクセスの適切な保護が含まれます。 シリアル コンソールと SSH で匿名 root ログインを制限すると、VNX for File/Unified システ ムのシステム セキュリティが強化されます。 詳細については、匿名 root ログインの制限 (140 ページ)を参照してください。 GRUB ブート ローダーをパスワードで保護すると、システムのセキュリティが強化されます。 GRUB のパスワードを設定するには、root アクセスが必要です。root ユーザーとして CLI に ログインすることで設定できます。 GRUB 構成ファイルでパスワードを設定します。 多くの場 合、このファイルは、/etc/grub.conf、 /boot/grub/grub、/boot/grub/ menu.lst など、複数の場所のいずれかにあります。 平文のパスワードを設定するには、 GRUB 構成ファイルを編集して、コメント解除された最初の行の前に、次の行を追加します。 password[<password>] ログイン バナーと今日のメッセージ ログイン バナーと MOTD(今日のメッセージ)は、管理者が VNX for File ユーザーと連絡を取 る手段となります。 コマンド ライン インタフェースと Unisphere で、同じログイン バナーを確 認できます。 MOTD はコマンド ライン インタフェースからのみ確認できます。 Control Station プロパティを変更するには、ユーザーが root である必要があります。 Unisphere からバナーを構成するには、[システム > システム管理](タスク リスト)> [Control Station のプロパティ]を選択します。 この機能については、Unisphere のオンライ ン ヘルプを参照してください。 VNX for File CLI を使用してバナーと MOTD を構成する場合、詳細についてはセキュリティ構 成に関連する操作での VNX for File CLI の使用(115 ページ)を参照してください。 28 VNX1, VNX2 VNX のセキュリティ構成ガイド 第3章 ロギング この章では、VNX(Block と File のみを含む)に実装されたさまざまなログ機能について説明 します。 次のトピックが含まれます。 l l l l l ログの設定............................................................................................................30 VNX for Block システムの監査ログ.........................................................................30 VNX および RSA enVision...................................................................................... 31 VNX for File システムの監査.................................................................................. 31 格納データの暗号化の監査ログ............................................................................ 32 ロギング 29 ロギング ログの設定 ログとは、システムにおける処理を時間ごとに記録したものであり、操作、手順、またはセキ ュリティ関連のトランザクションにおけるイベント(最初から最終的な結果まで)に関連する、 あるいは、これらを引き起こした一連の処理を再現して検証する上で役立ちます。 VNX イベント ログには、ユーザー管理操作、サービス担当者による作業、ストレージ システ ムの内部イベントに関連するメッセージが含まれており、ストレージ システムのソフトウェア およびハードウェアの問題の診断と解決に役立ちます。 VNX for Block システムの監査ログ 監査ログは、すべてのアクティビティの記録を目的としており、次の機能を備えています。 l 疑わしいアクティビティのチェックを定期的に実行できます。 l 疑わしいアクティビティ範囲を決定できます。 規制当局の監査を受ける財務組織にとって、監査ログは特に重要です。 VNX for Block システムの監査情報は、各 SP 上のイベント ログに含まれています。 このロ グには、ハードウェアとソフトウェアの診断情報および監査情報が含まれています。 タイム スタンプ付きの各イベントのレコードが含まれ、各レコードには次の情報が含まれています。 l イベント コード l イベントの説明 l ストレージ システムの名前 l 対応する SP の名前 l SP に関連づけられたホスト名 ストレージ管理サーバーがイベント ログに監査レコードを追加します。 ユーザーがログイン するか、Unisphere を使用してリクエストを入力するか、Secure CLI コマンドを実行すると、そ のたびに監査レコードが作成されます。 個々の監査レコードにはタイムスタンプが付き、各 リクエストについて次の追加情報を識別します。 l リクエスタ(Unisphere ユーザー名) l 要求タイプ l リクエストのターゲット l リクエストの成功または失敗 ストレージ管理サーバーは、監査ログをクリアする機能を管理者とセキュリティ管理者のみ が使用できるように制限します。 許可されたユーザーによってログがクリアされるたびに、 新しいログの先頭にイベントが記録されます。 これにより、ユーザーが自分の操作の証拠 を削除できないようになっています。 RemotelyAnywhere ツールで実行するすべてのサービス アクションもログに記録されます。 これには、ログイン/ログアウト、失敗したログイン、ファイル転送、ファイルの変更、および SP の再起動が含まれます。 VNX for Block システム上の SP イベント ログに保存できるイベントの数は固定されており、 制限を超えた場合は折り返されます。 制限を超えるまでには、ログ記録アクティビティに応 じて、数日、数週間、数カ月、数年かかることがあります。 そのため、セキュリティ要件で一 定期間にわたりすべてのログを保持する必要がある場合は、VNX for Block システムから定 期的にログをアーカイブする必要があります。 アーカイブは、CLI の[getlog]コマンドを使用 して実行できますが、Event Monitor テンプレートの[システム ログへの記録]オプションを使 30 VNX1, VNX2 VNX のセキュリティ構成ガイド ロギング 用して Windows システム ログにイベントを記録するほうが統合的に実行できます。 その後 で必要に応じてこれらのログをアーカイブすることができます。 VNX および RSA enVision VNX ストレージ システムのセキュリティをさらに強化するために、RSA enVision の継続的な 収集、モニタリング、および解析機能も活用します。 RSA enVision は、次の機能を実行しま す。 l [ログを収集]:ファイアウォールからデータベースまで、130 を超えるイベント ソースか らイベント ログ データを収集します。 RSA enVision は、システムログ、OBDC、SNMP、 SFTP、OPSEC、または WMI など、標準の転送を使用して、独自のカスタム ソースからも データを収集できます。 l [ログを安全に保存]:ログの機密性と整合性を維持しながら、ログ データを後で分析す る目的で保存できるように、圧縮して暗号化します。 l [ログを分析]:データをリアルタイムで分析して、ただちにアラートや応答が必要な、異 常な動作がないかどうかを確認します。 RSA enVision 独自のログは、後のレポート作 成やフォレンジック解析にも最適化されています。 組み込み型のレポートとアラートを使 用すると、管理者や監査人は、理解しやすいログ データにすばやく簡単にアクセスでき ます。 RSA enVision は、VNX ストレージ システムによってロギングされた管理イベントを収集およ び分析し、VNX ストレージ システムに保存するこの情報のログを作成します。 これにより、 監査人は、VNX ストレージ システムで発生する管理イベントに関するスケジュール設定され た、またはスケジュール設定されていないレポートに容易にアクセスできます。監査人は、 実際のデバイス自体にアクセスする必要がなく、また、VNX 管理アプリケーションの知識も 不要です。 具体的な用途には次のものがあります。 l データのコピーを作成するための監査証跡の提供 l レプリケーション サービスの異常時の、アラートおよびレポートの作成 l 日々のデバイス構成変更に関するレポートの作成 l ユーザーのアクションに関するアラートおよびレポートの作成 l 取りはずされたディスクに関するアラートの作成 VNX for File システムの監査 VNX for File システムには、構成ファイルと、Control Station から開始された管理アクティビ ティ(具体的には、主要なシステム ファイルとエンド ユーザー データへのアクセス)をキャプ チャするコマンドがあります。 Control Station プロパティを変更するには、ユーザーが root である必要があります。 VNX for File システムで監査を実装する方法の詳細については、EMC オンライン サポート用 Web サイト(http://Support.EMC.com)のテクニカル ノート「Celerra および VNX for File での 監査ツールの構成および使用」を参照してください。 テクニカル ノートにアクセスするには 1. ユーザー アカウント認証情報を使用して EMC オンライン サポート Web サイトにログイ ンします。 2. [Support by Product]をクリックします。 3. [製品の検索]に「VNX シリーズ」と入力し、[>>]をクリックします。 4. [ドキュメント>>]をクリックします。 5. [タイトル]をクリックし、ドキュメントにスクロールします。 VNX および RSA enVision 31 ロギング 格納データの暗号化の監査ログ 格納データの暗号化機能(D@RE)では、個別に監査機能が提供されており、次のキースト アの操作がログに記録されます。 l 機能の起動 l キーの作成 l キーの破棄 l キーストアのバックアップ l ディスク暗号化の完了 l SLIC の追加 キーストア操作の監査ログは、システムのプライベート領域に保存されます。 監査ログとチ ェックサム情報を取得するには、VNX for Block securedata -auditlog CLI コマンドを 使用してください。 このコマンドの詳細については、「VNX for Block コマンド ライン インタフェ ース リファレンス」を参照してください。 32 VNX1, VNX2 VNX のセキュリティ構成ガイド 第4章 通信セキュリティ この章では、VNX、VNX for Fil、および VNX for Block システムに実装されたさまざまな通信 セキュリティ機能について説明します。 次のトピックが含まれます。 l l l l l l l l l l l l 通信のセキュリティの設定..................................................................................... 34 ポートの使用......................................................................................................... 34 VNX for Block 上の Unisphere コンポーネントによって使用されるポート................. 34 ネットワーク上での VNX for file の機能.................................................................. 35 ネットワークの暗号化............................................................................................ 59 SSL 証明書............................................................................................................60 VNX for File での公開鍵基盤の計画に関する考慮事項.......................................... 62 VNX for File システム上の IP Packet Reflect............................................................65 フィルタリング管理ネットワークの効果....................................................................65 vSphere Storage API for Storage Awareness(VASA)のサポート..............................65 特別な構成........................................................................................................... 66 その他のセキュリティに関する考慮事項................................................................ 67 通信セキュリティ 33 通信セキュリティ 通信のセキュリティの設定 通信セキュリティ設定では、製品コンポーネント間および製品コンポーネントと外部システム または外部コンポーネントの間での安全な通信チャネルを確立できます。 ポートの使用 さまざまのコンポーネントによってデータをやりとりするために使用されるポートは、 Unisphere の通信の重要な要素です。 高度なセキュリティを備えたネットワーク構成を必要 とするお客様は、さまざまな Unisphere コンポーネントがどのネットワーク ポートを必要とす るかを理解する必要があります。 コンポーネント間にあるファイアウォールは、ソース コンポ ーネントからデスティネーション コンポーネント上で指定されたポートへの接続を許可するよ うに構成する必要があります。 また、ファイアウォールは、確立された接続のソースに戻さ れるトラフィックも許可する必要があります(ほとんどの場合デフォルトで許可されます)。 VNX for Block のポートについては、VNX for Block 上の Unisphere コンポーネントによって 使用されるポート(34 ページ)を参照してください。 VNX for File(Control Station および Data Mover)のポートについては、VNX for File プライマリ ネットワーク サービス(37 ペー ジ)と VNX for File 送信ネットワーク接続(55 ページ)を参照してください。 VNX for Block 上の Unisphere コンポーネントによって使用されるポ ート Unisphere コンポーネントと通信に使用されるポートの一覧については、VNX for Block Unisphere コンポーネントによって使用されるポート(34 ページ)を参照してください。 表 3 VNX for Block - Unisphere コンポーネントによって使用されるポート ソース コンポーネント デスティネーション コ ンポーネント ネットワーク ポ プロトコル ート 機能 タイプ Unisphere ストレージ マネジメント サーバー 80/443 または 2162/2163a HTTP/SSL 基本管理 アウトバンド ストレージ マネジメント サーバー ストレージ マネジメント サーバー 443 または 2163 HTTP/SSL ストレージ システムからストレー アウトバンド ジ システム ドメインへの通信 ストレージ マネジメント サーバー ホスト エージェント 6389 TCP Unisphere に表示される LUN/ ボリューム マッピング情報 アウトバンド SP エージェント(または ホスト エージェント) SMTP サーバー 25 TCP メール アラート アウトバンド ホスト エージェント SP Agent 6389 TCP 集中型の監視 アウトバンド Unisphere Service Manager ストレージ マネジメント サーバー 443 または 2163 TCP/SSL サービス タスク アウトバンド Block CLI ストレージ マネジメント サーバー 443 または 2163 TCP/SSL 基本管理 アウトバンド RemotelyAnywhere RemotelyAnywhere ホス 9519、22 ト TCP リモート サポート、ログイン、 SSH アクセス アウトバンド 34 VNX1, VNX2 VNX のセキュリティ構成ガイド 通信セキュリティ 表 3 VNX for Block - Unisphere コンポーネントによって使用されるポート (続き) ソース コンポーネント デスティネーション コ ンポーネント ネットワーク ポ プロトコル ート 機能 タイプ ストレージ マネジメント サーバー LDAP サーバー 389 TCP Unsecure LDAP クエリー アウトバンド ストレージ マネジメント サーバー LDAP サーバー 636 TCP Secure LDAP クエリー アウトバンド ストレージ管理サーバー または iSCSI ポート b iSNS Server 3205 TCP iSNS(Internet Storage Naming Service) アウトバンド iSCSI イニシエーター VNX OE for block 3260 TCP iSCSI データ接続 インバンド Unisphere Storage System Initialization Utility ストレージ マネジメント サーバー 2162 UDP アレイの検出 アウトバンド ストレージ マネジメント サーバー Unisphere Storage System Initialization Utility 2163 UDP 検出リクエストに対する応答 アウトバンド ストレージ マネジメント サーバー NTP サーバー 123 UDP NTP 時間の同期化 アウトバンド SP エージェント(または ホスト エージェント) SNMP マネージャ 161 UDP SNMP トラップ アウトバンド ストレージ マネジメント サーバー ESX または Virtual Center サーバー 443 HTTP/SSL VM 対応 Unisphere アウトバンド a. b. 2162/2163 は、デフォルトの HTTP および SSL/TLS ポートをターゲットとする攻撃から VNX for Block を隠すために使用できる代替のポ ート ペアです(VNX Unified システムではサポートされません)。 保護されていない HTTP ポートでは Java アプレットのダウンロードのみ が許可されます。 ストレージ システムとの他のすべての通信では保護された SSL/TLS ポートが使用されます。 iSNS の登録では、使用するポートに関係なくパケットが iSNS サーバーに正常にルーティングされます ネットワーク上での VNX for file の機能 VNX for file は中核機能として CIFS(Common Internet File System)および NFS(ネットワー ク ファイル システム)ファイル サーバーとして機能するように設計されています。 FTP および TFTP サービスも使用できます。 これらの目的のために VNX for file にアクセスする方法(使 用するポートやプロトコルなど)は標準によって定義されています。 そのため、VNX for file のネットワーク接続形態の大部分はこれらの標準によって規定されます。 さらに、すべての ネットワーク デバイスと同じように、クライアント システムから必要とされる補助的なサービ ス(VNX Replicator、ユーザー マッパなど)および互換性に関する考慮事項があり、VNX for File がこれらのサービスを提供する理由となっています。 VNX for file のネットワーク接続形態については、いくつかの方法で検討および説明すること ができます。 1 つの方法として、オープンなネットワーク ポートを想定し、それらの特徴(たと えば、それらが標準のネットワーク サービスか VNX for file に固有のネットワーク サービス か)を説明する方法があります。 これらのポートのほとんどは、標準のネットワーク ポートで あり、外部向けの特性(ポート番号、認証方法、提供されるサービスなど)は既存の標準に よって決定されます。 標準とは、通常は RFC(Request for Comments)のことですが、業界 標準を指す場合もあります (ほとんどの場合、業界標準は CIFS サービスに関連するもの で、Microsoft のファイル サービスとの互換性が重要になります)。 ネットワーク上での VNX for file の機能 35 通信セキュリティ VNX for file のネットワーク接続形態を説明する別の方法として、VNX for file 上のファイル にアクセスするエンド ユーザーに提供されるサービスの種類、VNX for file を管理および監 視するために提供されるサービスの種類、ネットワーク環境で作業するために使用可能な 機能(たとえば、ポート 111 上のポートマップまたは rpcbind サービス)などを説明するより 高度な概念的アプローチをとることもできます。 VNX for File のネットワークの存在を確認および説明する別のコンテキスト的なアプローチと して、次のような提供される適用可能なサービスの一覧を示すこともできます。 l エンド ユーザーに提供されるサービス(VNX for File 上のファイルにアクセスするユーザ ー) l VNX for File の管理および監視のために提供されるサービス l ネットワーク環境での作業に使用できるサービス(ポート 111 上のポートマップや rpcbind サービスなど) 強固な防御 VNX for file 上のほとんどのオープン ネットワーク ポートの動作は、ネットワーク標準によっ て規定されるため、関連するサービスを無効にしてポートを閉じる以外にこれらのポートを 保護するために VNX for file で使用できる追加手段はありません。 ポートマップなどのサー ビスを無効にすると、VNX for file の一般的な操作の妨げとなり、場合によっては重大な影 響が発生します。 しかし、強固な防御の概念では、防御を強化してポートにアクセスできるユーザーを制御す ることにより、すべての潜在的な脆弱性に対処する必要があります。 これは、ネットワーク 環境内のファイアウォール(VNX for file の外部)、または Control Station 上で IP テーブル 機能を有効にすることによって実現できる場合があります さらに、VNX for file Data Mover は、ネットワーク接続を制御するための次の 2 つの強力な メカニズムを提供します。 l Packet Reflect l VLAN(仮想ローカル エリア ネットワーク) Packet Reflect を使用すると、アウトバウンド(応答)パケットが、常に、インバウンド(リクエ スト)パケットを受信したインタフェースと同じインタフェースを経由して送信されるようになり ます。 Data Mover 上のネットワーク トラフィックの大部分(すべてのファイル システムの I/O を含む)はクライアントによって開始されるため、Data Mover ではクライアント リクエストへ の応答に Packet Reflect を使用します。 Packet Reflect を使用すると、応答パケットを送信 するルートを決定する必要がなくなります。 Packet Reflect はデフォルトで有効になっていま す。 VLAN は物理ネットワーク構成から独立して機能する論理ネットワークです。 たとえば、 VLAN を使用すると、ある部門のすべてのコンピュータを同じ論理サブネット上に配置し、セ キュリティを高めると同時にネットワーク ブロードキャストのトラフィックを軽減できます。 Packet Reflect、VLAN、およびこれらの機能の構成方法については、「VNX ネットワークの構 成と管理」を参照してください。 VNX for File のネットワーク サービス Unisphere では、Control Station と Data Mover 上の一部のネットワーク サービス(および 関連する通信ポートとプロトコル)の現在の状態を一覧表示できます。 これらのサービスの 有効化、無効化、監視を行うことができます。 VNX for File のセキュリティを向上させるため には、現在の環境で使用されていないネットワーク サービスを無効化して、VNX for File へ のアクセスを制限する必要があります。 Control Station プロパティを変更するには、ユーザ ーが root である必要があります。 Data Mover で実行されている一部のサービスについて は、変更を適用するために再起動が必要になります。 36 VNX1, VNX2 VNX のセキュリティ構成ガイド 通信セキュリティ Unisphere からネットワーク サービスを管理するには、[設定 > ネットワーク > ファイルの 設定 > ネットワーク サービス]を選択します。 この機能については、Unisphere のオンライ ン ヘルプを参照してください。 VNX for File のセッション タイムアウト VNX for File では、Unisphere と Control Station シェルの両方がアクセスする管理セッション に対して、セッション タイムアウトを適用します。 指定した期間、非アクティブな状態が続く と、セッションはタイムアウトします。 セッションのタイムアウトは、デフォルトで有効にされて います。 Control Station プロパティを変更するには、ユーザーが root である必要がありま す。 Unisphere のセッション タイムアウトを管理するには、[設定](タスク リスト)>[アイドル タ イムアウトの管理]を選択します。 この機能については、Unisphere のオンライン ヘルプを 参照してください。 VNX for File の CLI を使用してシェル セッション タイムアウトを管理することができます。 詳 細については、セッション タイムアウトの構成(117 ページ)を参照してください。 プライベート ネットワーク VNX for File は、内部サブネットに 128.221.252、128.221.253、および 128.221.254 を使 用します。 これらのサブネットが既存のサブネットに干渉する場合は、EMC プロフェッショナ ル サービスがシステムの初期インストール時にそれらを変更することができます。 インスト ール中に、プライベート IP を使用して、EMC VNX for Block との接続が試行され(適切な場 合)、システムがゲートウェイまたは統合型システムのどちらであるかが特定されます。 そ のため、インストール中にこれらのサブネットから特定の IP への ping が実行されます。 こ のチェックはインストール中に限定されます。通常の動作中にはパブリック ネットワーク上で のプライベート IP による通信は行われません。 VNX for File プライマリ ネットワーク サービス VNX for File は、最上位レベルで NFS、CIFS、FTP、または TFTP ファイル アクセス サービスを エンド ユーザーに提供します。 これらは、提供される最終的なサービスであり、VNX for file がネットワーク環境内に存在する理由です。 VNX for file に関連する他のすべてのネットワ ーク アクティビティは、ある程度はこれらの機能の補助的なものであり、これらの高レベル のサービスをサポートするために追加のネットワーク サービスが存在します。 VNX for File に搭載されているネットワーク サービス コレクション(およびその対応するポー ト)の概要については、VNX for File Data Mover のネットワーク ポート(41 ページ)と VNX for File Control Station のネットワーク ポート(52 ページ)を参照してください。 VNX for File Data Mover のネットワーク ポート(41 ページ)は Data Mover のサービスについて説 明しており、VNX for File Control Station のネットワーク ポート(52 ページ)は Control Station のサービスについて説明しています。 㽷 すべての VNX for file の導入環境でこれらのすべてのサービスが使用できるわけではあり ません。 たとえば、VNX for File システムが、CIFS ファイル サービスまたは NFS ファイル サ ービスのどちらかを提供するように構成される場合があります。 また、一部のポートは動的 に割り当てられること、つまりサービスに関連づけられているポート番号が設定されていな いことにも注意してください。 この場合、管理者は、以下の表とは異なるポートが使用されて いることに気づく場合があります。 VNX for File のセッション タイムアウト 37 通信セキュリティ VNX for File CIFS ネットワーク サービス CIFS ネットワーク サービスが、VNX for File 上で有効になっていて、既存の Windows インフ ラストラクチャ(Microsoft の Active Directory など)と連携するように構成されている場合、 広範囲に及ぶネットワーク サービス(およびそれらの対応するポート)を有効にする必要が あります。 これらのポートの一部(Data Mover 上の 137、138、139)は、古い Windows シ ステム(Windows NT 以前)をサポートするために存在します。 他のポートは、Active Directory サーバーと通信し、ユーザーを認証したり GPO(グループ ポリシー オブジェクト) 構成ディレクティブを受信したりするために使用されます。 一般的に、ネットワーク トラフィックはマイクロソフトの方式に従って既存の標準セットを基に して認証されます。 共有、ファイル、およびディレクトリへのアクセスは、Active Directory 認 証情報を使用して認証されます。 ただし、CIFS ユーザーの認証方法は非常に細かく制御さ れます。 これは、VNX for file の管理に関するさまざまなドキュメントで詳しく説明されていま す。 特に、次のドキュメントには役に立つ情報が記載されています。 l 「 VNX CIFS の構成と管理 」 l 「VNX でのマルチプロトコル環境の管理 」 CIFS ユーザーと NFS ユーザーが同時にファイルとディレクトリを使用できるようにする場合 は、これらのドキュメントが特に有効です。 Windows 2000 および 2003 環境の CIFS 用の標準の Kerberos ベースの Active Directory 認証方法に加えて、VNX for file は、Windows NT 環境および UNIX 用の NTLMv2 と、共有レ ベルのパスワードもサポートします。 後者の 2 つの方法は推奨されません。これらは非常 に特別な環境をサポートするために存在しています。 CIFS の構成に関するドキュメントにこ れらの使用方法の概要が記載されています。 同じ物理 Data Mover 内で複数の CIFS 環境を分離する場合、仮想 Data Mover(VDM)の使 用をお勧めします。 VDM は、VNX for File ソフトウェアの機能であり、管理者はこの機能を 使用して、ファイル システムと NFS および CIFS サーバーを仮想コンテナにグループ化する ことができます。 各 VDM は多くの CIFS/NFS のポイント オブ プレゼンスをサポートすること ができます。 単一の VDM に、DNS、LDAP、または NIS ユーザー ドメインが含まれます。 ご 使用の環境で複数の分離された AD ドメインが必要な場合は、各ドメインで別々の VDM を 使用する必要があります。 VDM の概念と管理方法の詳細については、「VNX 仮想 Data Mover の構成」を参照してください。 VNX for file CIFS サービスの管理には、2 つの方向からのアプローチがあります。 ボリュー ム、ファイル システム、および共有を作成するための初期プロビジョニングは、VNX for File Control Station から(コマンド ライン インタフェースまたは Unisphere ソフトウェアのグラフィ カル ユーザー インタフェースを使用して)実行されます。 ただし、共有のセキュリティ属性を 設定するには、Windows の管理ツールを使用する必要があります。 これは、従来の Windows のワークフローや管理インフラストラクチャと統合したいというほとんどのお客様 の要望に沿うものです。 VNX for File CIFS ネットワーク接続形態 高レベルの CIFS サービスが、VNX for file 上で有効になっている場合、CIFS クライアント ア クセスをサポートするために Data Mover 上でネットワーク サービスまたはポートのコレクシ ョンが有効になります。 特定のポートの機能と動作については、VNX for File Data Mover の ネットワーク ポート(41 ページ)を参照してください。 以下のポートがアクティブになりま す。 38 l ポート 137、138、および 139 — 古い CIFS クライアント用の NETBIOS サービス。 l ポート 445 — CIFS ファイル サービス用の主要アクセスポイント。 これは、ポート 137、 138、および 139 を置き換えるものです。 l ポート 12345 — Windows SID(セキュリティ識別子)を UNIX 形式の UID(ユーザー ID) および GID(グループ ID)にマッピングする usermapper サービス用 VNX1, VNX2 VNX のセキュリティ構成ガイド 通信セキュリティ SMB 暗号化と署名 VNX for File/Unified システムは、SMB 3.0 および Windows 2012 をサポートし、ネットワー ク上の暗号化された CIFS トラフィックもサポートします。 この転送中のデータの暗号化で は、CIFS サーバーとクライアント システムの間で送信されるすべての SMB データとリクエス トをエンドツーエンドで暗号化し、それらの通信をネットワーク上の傍受やスヌーピング攻撃 から保護することができます。 SMB 暗号化は、共有ごと、あるいは CIFS または仮想 Data Mover(VDM)CIFS サーバーごと に構成することができます。 共有の暗号化が定義されている場合、すべての SMB3 クライ アントは共有に関するすべてのリクエストを暗号化する必要があります。暗号化しないと共 有へのアクセスが拒否されます。 㽷 SMB 暗号化の使用は、クライアントとサーバーの両方のパフォーマンスと CPU 使用率に影 響します。 SMB 暗号化を使用するには、server_export コマンドを使用するか、CIFS サーバーのレ ジストリを使用して暗号化を設定します。 SMB クライアントで必要な設定はありません。 Encrypted という新しいタイプ オプションが server_export コマンドに追加されていま す。 このオプションを設定した場合、CIFS 共有にアクセスするためにサーバーが暗号化さ れたメッセージを必要とすることを示します。 たとえば、暗号化された SMB メッセージを介し てのみアクセス可能な「share10」という共有を作成するには、server_export vdm1 -P cifs -name share10 -o type=Encrypted /fs42/protected_dir1 と入力します。 CIFS/VDM CIFS サーバー レベルですべての共有を暗号化するために、EncryptData と RejectUnencryptedAccess という新しい値が CIFS サーバーのレジストリ (HKEY_LOCAL_MACHINE > System > CurrentControlSet > Services > LanmanServer > Parameters)に追加されました。 表 4 SMB 暗号化のレジストリ値 レジストリ値 タイプ デフォルト 値 EncryptData DWORD 0(無効) RejectUnencryptedAcc DWORD 1(有効) ess 説明 有効な場合、SMB3 クライアントから CIFS サーバ ーに対して確立されるすべてのセッションを暗号 化する必要があります。 有効な場合、SMB3 クライアントがメッセージを暗 号化する必要があります。 クライアントが暗号化 されていないメッセージを送信した場合、サーバ ーは ACCESS_DENIED エラーを返します。 SMB1、 SMB2.0、および SMB2.1 クライアントも、暗号化さ れたセッションを必要とする共有または CIFS サー バーにアクセスすることはできません。 㽷 SMB 暗号化の設定の詳細については、「VNX for File コマンド ライン インタフェース リファレン ス」および「VNX CIFS の構成と管理」テクニカル モジュールを参照してください。 受信トラフィックと送信トラフィックは、2 つの異なる秘密鍵を使用して暗号化されます。 どち らもユーザーの認証が正常に完了した後に計算されます。 暗号化および複合化の 16 バイ ト キーは、Counter Mode で KDF(Key Derivation Function)アルゴリズムを使用して生成さ れます。 クライアントとサーバーの間のネットワーク上の SMB メッセージは、AES128-CCM VNX for File プライマリ ネットワーク サービス 39 通信セキュリティ 暗号化アルゴリズムを使用して暗号化されます。 SMB2_NEGOTIATE と SMB2_SESSION_SETUP を除く SMB2 メッセージを暗号化することができます。 また、SMB はデータ整合性検証(署名)も提供します。 このメカニズムを使用すると、パケッ トがインターセプト、変更、またはリプレイされる心配がありません。 SMB 署名は、すべての パケットに署名を追加し、第三者がパケットを変更していないことを保証します。 署名される と、SMB2 メッセージで、メッセージの整合性を保証する 16 バイトの署名が SMB2_HEADER バッファに含まれます。 SMB3 がネゴシエートされる場合、送信側は、AES128-CCM 暗号化 アルゴリズムを使用し、署名鍵を使用して SMB2 ヘッダからメッセージ全体の 16 バイトの ハッシュを計算する必要があります。 署名鍵は、Counter Mode で KDF アルゴリズムを使用 して生成されます。 キーの取得で使用される PRF(Pseudo Random Function、疑似ランダム 関数)は HMAC-SHA256 にする必要があります。SMB 署名ポリシーは、グローバル ポリシ ー オブジェクト(GPO)または Windows レジストリ設定を使用して変更することができます。 㽷 SMB 署名の構成の詳細については、「VNX CIFS の構成と管理」テクニカル モジュールおよび 「VNX for File パラメータ ガイド」を参照してください。 VNX for File NFS ネットワーク サービス NFS ネットワーク サービスは、多くの場合、CIFS ネットワーク サービスよりも単純ですが、同 じレベルと認証およびエンタープライズ環境との密接な統合は提供しません。 高レベルの NFS サービスが、VNX for file 上で有効になっている場合、NFS クライアント アクセスをサポ ートするために Data Mover 上でネットワーク サービスまたはポートのコレクションが有効に なります。 特定のポートの機能と動作については、VNX for file Data Mover のネットワーク ポート(41 ページ)を参照してください。 以下のポートがアクティブになります。 l Data Mover 上のポート 1234(マウントサービス用) l Data Mover 上のポート 2049(NFS および NFSv4 サービス用) l Data Mover 上のポート 31491(RFA(Remote File Access)サービス用) VNX では、VDM(仮想 Data Mover)ごとに NFS サーバーを実装することにより、UNIX 環境 で Data Mover に対応するマルチネーミング ドメイン ソリューションが利用できます。 このソ リューションは、「NFS エンドポイント」という名前の NFS サーバーを VDM ごとに実装します。 VDM は、NFS エンドポイントおよび/または CIFS サーバーによってエクスポートされるファイ ル システムを含むコンテナとして使用されます。 VDM のこれらのファイル システムは、 VDM に接続された Data Mover ネットワーク インタフェースのサブセットを通じて表示されま す。 同じネットワーク インタフェースをその VDM 上にある CIFS および NFS プロトコルの両 方で共有できます。 NFS エンドポイントおよび CIFS サーバーは、その特定の VDM に接続さ れたネットワーク インタフェースを通じて対応されます。 この機能の詳細については、「VNX 仮想 Data Mover の構成」を参照してください。 㽷 NFS の情報については、「VNX NFS の構成」を参照してください。NFS と CIFS の両方をサポー トするための VNX の構成に関する詳細については、「マルチプロトコル環境における VNX の 管理」を参照してください。 40 VNX1, VNX2 VNX のセキュリティ構成ガイド 通信セキュリティ VNX for file Data Mover のネットワーク ポート 㽷 Unisphere を使用して、一部のネットワーク サービスを管理することができます。Unisphere のインタフェースには、ほとんどのネットワーク サービスの現在のステータス(有効または無 効)が表示され、これによりサービスを簡単に有効または無効にすることができます。システ ムを選択し、[ファイル設定] > [ネットワーク サービス]を選択します。ネットワーク サービス の有効と無効の切り替えの詳細については、Unisphere オンライン ヘルプを参照してくださ い。 表 5 VNX for file Data Mover のネットワーク ポート ポート プロトコル デフォルトの状 サービス 態 備考 20 TCP 閉じている FTP FTP データ転送に使用されるポート。このポート は、次の行で説明するように FTP を有効にするこ とによって開くことができます。認証は、ポート 21 上で実行され、FTP プロトコルによって定義されま す。 21 TCP 閉じている FTP ポート 21 は、制御ポートであり、FTP サービスは このポート上で着信 FTP リクエストをリスンします。 すべての Data Mover が FTP サービスを実行しま す。次のコマンドを使用して、FTP サービスを有効 にすることができます。 server_ftp [<movername>] -service -start 次のコマンドを使用して、FTP サービスを無効にす ることができます。 server_ftp [<movername>] -service -stop 認証プロセスは FTP プロトコル定義(RFC 959)に よって定義されており、変更できません。UNIX 名 または Windows のドメイン名とユーザー名 (domain\user)を使用して認証することができま す。 Data Mover 上の FTP サービスの実行と管理の詳 細については、「VNX での FTP、TFTP、SFTP の使 用方法」を参照してください。 22 TCP 閉じている SFTP(FTP over SSH) SFTP はクライアント/サーバー プロトコルです。ユ ーザーは SFTP を使用して、ローカル サブネット上 にある VNX システムでファイル転送を実行できま す。基礎となる SSH バージョン 2 プロトコルは、シ ステム間でのファイル転送を安全に行うための分 離レイヤーを提供します。 Data Mover 上の FTP サービスの実行と管理の詳 細については、「VNX での FTP、TFTP、SFTP の使 用方法」を参照してください。 VNX for File プライマリ ネットワーク サービス 41 通信セキュリティ 表 5 VNX for file Data Mover のネットワーク ポート (続き) ポート プロトコル デフォルトの状 サービス 態 69 UDP 閉じている TFTP 備考 最初は、TFTP は UDP ポート 69 上でリスンしま す。ポート 69 上でリクエストが読み取られると、 TFTP データ転送用に異なるポートがランダムに選 択されます。定義(RFC 1350)では、TFTP はリクエ ストを認証しません。 TFTP サービスは、デフォルトでは開始されないの で、手動で開始する必要があります。 次のコマンドを使用して、TFTP サービスを有効に することができます。 server_tftp [<movername>] -service -start 次のコマンドを使用して、TFTP サービスを無効に することができます。 server_tftp [<movername>] -service -stop Data Mover 上の FTP サービスの実行と管理の詳 細については、「VNX での FTP、TFTP、SFTP の使 用方法」を参照してください。 111 TCP UDP 開放 rpcbind(ネットワーク イ このポートは、標準の portmapper サービスまた ンフラストラクチャ) は rpcbind サービスによって開かれます。これは 補助的な VNX for file ネットワーク サービスです。 これは停止できません。定義上、クライアント シス テムがポートへネットワーク接続できる場合、クエ リーも実行できます。認証は行われません。 123 UDP 閉じている NTP このポートは NTP(Network Time Protocol)に関連 づけられています。このポートは、Data Mover 上 で NTP が構成されているときに開くことができま す。 137 UDP 閉じている NETBIOS Name Service (CIFS) 次のコマンドを使用してこのポートを開くことがで きます。 server_setup [<movername>] -Protocol cifs -option start CIFS サービスを停止することによってこのポートを 閉じることができます。次のコマンドを使用しま す。 server_setup[<movername>]-Protocol cifs -option stop これによりすべての CIFS 関連のサービスが無効 になることに注意してください。 NETBIOS Name Service は、VNX for file CIFS ファ イル共有サービスに関連づけられており、この機 能のコア コンポーネントです。CIFS サービスが有 42 VNX1, VNX2 VNX のセキュリティ構成ガイド 通信セキュリティ 表 5 VNX for file Data Mover のネットワーク ポート (続き) ポート プロトコル デフォルトの状 サービス 態 備考 効になっている場合、このポートは開かれていま す。これは特に、Windows OS の初期バージョン (Windows 2000 以前)で必要です。VNX for file CIFS サービスに正当にアクセスできるクライアント は、動作を続行するためにこのポートにネットワー ク接続されている必要があります。 138 UDP 閉じている NETBIOS Datagram Service(CIFS) 次のコマンドを使用してこのポートを開くことがで きます。 server_setup [<movername>] -Protocol cifs -option start CIFS サービスを停止することによってこのポートを 閉じることができます。次のコマンドを使用しま す。 server_setup[<movername>]-Protocol cifs -option stop これによりすべての CIFS 関連のサービスが無効 になることに注意してください。 NETBIOS Datagram Service は、VNX for file CIFS ファイル共有サービスに関連づけられており、この 機能のコア コンポーネントです。CIFS サービスが 有効になっている場合、このポートは開かれてい ます。これは特に、Windows OS の初期バージョ ン(Windows 2000 以前)で必要です。VNX for file CIFS サービスに正当にアクセスできるクライアント は、動作を続行するためにこのポートにネットワー ク接続されている必要があります。 139 TCP 閉じている NETBIOS Session Service(CIFS) 次のコマンドを使用してこのポートを開くことがで きます。 server_setup [<movername>] -Protocol cifs -option start CIFS サービスを停止することによってこのポートを 閉じることができます。次のコマンドを使用しま す。 server_setup[<movername>] -Protocol cifs -option stop これによりすべての CIFS 関連のサービスが無効 になることに注意してください。 NETBIOS Session Service は、VNX for File CIFS フ ァイル共有サービスに関連づけられており、この 機能のコア コンポーネントです。CIFS サービスが 有効になっている場合、このポートは開かれてい ます。これは特に、Windows OS の初期バージョ ン(Windows 2000 以前)で必要です。VNX for file CIFS サービスに正当にアクセスできるクライアント VNX for File プライマリ ネットワーク サービス 43 通信セキュリティ 表 5 VNX for file Data Mover のネットワーク ポート (続き) ポート プロトコル デフォルトの状 サービス 態 備考 は、動作を続行するためにこのポートにネットワー ク接続されている必要があります。 161 UDP 閉じている SNMP このポートは、SNMP(Simple Network Management Protocol)を提供するために使用さ れます。SNMP は、多くのサードパーティ管理ツー ルによって使用される管理および監視サービスで す。Data Mover 上で実行される SNMPD(SNMP デーモン)は、SNMPv1、SNMPv2c、SNMPv3 をサ ポートします。SNMPv3 は、IPv4 と IPv6 の他に、 SNMPv1 および SNMPv2c へのセキュリティ強化 機能をサポートします。 SNMPv1 と v2c の認証は、クライアント システム が正しいコミュニティ文字列を使用していることが 基になります。デフォルトのコミュニティ文字列は 「public」であり、次のコマンドを使用して変更する 必要があります。 server_snmpd [<movername>] -modify -community [<community>] SNMPv3 は認証パスワードとプライバシー パスワ ードを使用します。次のコマンドを使用してこれら を構成することができます。 server_snmpd [<movername>] -user -create [<user>] -authpw -privpw SNMP は、Control Station と Data Mover の間の 一部の通信で使用されます。無効にした場合、 server_netstat コマンドで適切に機能を終了 できます。 次のコマンドを使用して Data Mover 上の SNMP サービスを無効にすることができます。 server_snmpd[<movername>] -service -stop SNMP の詳細については、「VNX SNMPv3 の使用 方法」を参照してください。 445 TCP 開放 CIFS このポートは、Windows 2000 以降のクライアント 用の新しいデフォルトの CIFS 接続ポートです。こ のポートは、CIFS サービスを有効にすることによっ て開かれます。次のコマンドを使用します。 server_setup [<movername>] Protocol cifs -option start このポートは、CIFS サービスを停止することによっ て閉じられます。次のコマンドを使用します。 server_setup [<movername>] Protocol cifs -option stop 44 VNX1, VNX2 VNX のセキュリティ構成ガイド 通信セキュリティ 表 5 VNX for file Data Mover のネットワーク ポート (続き) ポート プロトコル デフォルトの状 サービス 態 備考 これによりすべての CIFS 関連のサービスが無効 になることに注意してください。 VNX for file CIFS サービスに正当にアクセスできる クライアントは、動作を続行するためにこのポート にネットワーク接続されている必要があります。認 証は、Microsoft の方式に従ってこのポート上で処 理されます。 500 UDP 閉じている Iked 520 UDP 開放 RIP(Routing 次のコマンドを使用してこのポートを閉じることが できます。 Information Protocol) (ネットワーク インフラス server_setup[<movername>] トラクチャ) -Protocol rip -option stop このポートは、Internet Key Exchange デーモンに よって使用されます 次のコマンドを使用してこのポートを開くことがで きます。 server_setup [<movername>] Protocol rip -option start RIP(Routing Information Protocol)は、1 つの組 織内でルートを作成するために最適化されたルー ティング プロトコル(内部ゲートウェイ プロトコル) です。RIP は、ホップ カウント(最大 15)をメトリック として使用する距離ベクトル プロトコルです。RIP-1 では更新でマスクを送信しません。RIP-2 では更 新でマスクを送信します。 Data Mover 上の RIP サービスの目的と構成につ いては、「VNX ネットワークの構成と管理」を参照し てください。サービスを無効にする手順も記載され ています。 989 TCP 閉じている FTPS FTPS データ転送ポート。最初にポート 990 上で接 続が確立され、データ接続はこのポート上で実行 されます。RFC 4217:「Securing FTP with TLS」を参 照してください。 990 TCP 閉じている FTPS FTPS セッションが最初に確立される FTPS 制御ポ ート。認証プロセスは RFC 4217:「Securing FTP with TLS」によって定義されています。UNIX 名また は Windows のドメイン名とユーザー名(domain \user)を使用して認証することができます。 FTPS と TSL/SSL の操作方法については、「VNX で の FTP、TFTP、SFTP の使用方法」を参照してくださ い。 1020 TCP(デフォルトで 閉じている 1024 より大きいポ ート番号に設定さ れます) CDMS nfs FileMover for このポートは、CDMS nfs 移行サービスまたは NFS FileMover for NFS サービスで使用できます。両方 のサービスのクライアントは、動作を続行するため VNX for File プライマリ ネットワーク サービス 45 通信セキュリティ 表 5 VNX for file Data Mover のネットワーク ポート (続き) ポート プロトコル デフォルトの状 サービス 態 UDP 備考 にこのポートにネットワーク接続されている必要が あります。 ファイル システム移行操作の詳細については、 「NFS および CIFS 向け VNX File System Migration バ ージョン 2.0」を参照してください。 FileMover 操作の詳細については、「VNX FileMover の使用方法」を参照してください。 1021 TCP(デフォルトで 閉じている 1024 より大きいポ ート番号に設定さ れます) UDP CDMS nfs FileMover for このポートは、CDMS nfs 移行サービスまたは NFS FileMover for NFS サービスで使用できます。両方 のサービスのクライアントは、動作を続行するため にこのポートにネットワーク接続されている必要が あります。 ファイル システム移行操作の詳細については、 「NFS および CIFS 向け VNX File System Migration バ ージョン 2.0」を参照してください。 FileMover 操作の詳細については、「VNX FileMover の使用方法」を参照してください。 1234 TCP UDP 開放 mountd(NFS) このポートはマウント サービスのために使用され ます。このサービスは、NFS サービス(バージョン 2 および 3)のコア コンポーネントであり、Data Mover から外部的に認識される NFS エクスポート がない場合でも、Control Station と Data Mover の対話処理のために重要なコンポーネントです。 NFS エクスポートへのアクセスを制御するいくつか の方法については「VNX NFS の構成」を参照してく ださい。デフォルトのユーザー認証は AUTH_SYS です。より強力な認証が必要な場合は、一般的に Secure NFS を使用することができます。Secure NFS は、エンド ユーザー向けの Kerberos 認証を 提供します。 2049 TCP UDP 開放 NFS このポートは、NFS サービスを提供するために使 用されます。NFS サービスは、Data Mover から外 部的に認識される NFS エクスポートがない場合で も、Control Station と Data Mover の対話処理の ために重要なコンポーネントです。 NFS エクスポートへのアクセスを制御するいくつか の方法については「VNX NFS の構成」を参照してく ださい。デフォルトのユーザー認証は AUTH_SYS です。より強力な認証が必要な場合は、一般的に Secure NFS を使用することができます。Secure NFS は、エンド ユーザー向けの Kerberos 認証を 提供します。AUTH_SYS 認証を使用する場合、 VNX for file と NFSV4 クライアントの間でポート 2049 のみを開く必要があります。 46 VNX1, VNX2 VNX のセキュリティ構成ガイド 通信セキュリティ 表 5 VNX for file Data Mover のネットワーク ポート (続き) ポート プロトコル デフォルトの状 サービス 態 2,400 TCP UDP 閉じている 備考 FMP/Notify このポートは、FMP/通知サービスを提供するため に使用されます。このサービスは、VNX for File NFS クラスタ製品によって使用されます。 NFS クラスタが構成されているかどうかを確認す るには、nas_server -l コマンドを使用しま す。クラスタのタイプは「group」です。NFS クラスタ を削除するには、次のコマンドを使用します。 nas_server [<cluster_name>] -delete 4647 UDP 開放 lockd forward(NFS クラ これはパブリック サービスではありません。これ スターのインフラストラ は、VNX for file 相互接続ネットワーク上でのみ使 クチャ) 用されます。外部クライアントはこのサービスに接 続する必要はありません。外部クライアントはファ イアウォールによってブロックされる可能性があり ます。このサービスは、VNX for file NFS クラスタ製 品によって使用されます。 NFS クラスタが構成されているかどうかを確認す るには、nas_server -l コマンドを使用しま す。クラスタのタイプは「group」です。NFS クラスタ を削除するには、次のコマンドを使用します。 nas_server [<cluster_name>] -delete 4656 TCP UDP 閉じている FMP (バージョン 8.x よりも前の VNX OE for File を実行 しているシステムにのみ該当)このポートは、 MPFS(Multi-Path File Services)機能と関連づけら れます。次のコマンドを使用して、このポートを開く ことができます。 server_setup [<movername >]Protocol mpfs -option start MPFS サービスが機能するには、クライアントが FMP ポート上で VNX for file と通信することがで き、VNX for file が FMP ポート(UNIX クライアント の場合はポート 6907、Windows クライアントの場 合はポート 625)上でクライアントと通信できる必 要があります。 4658 TCP 開放 PAX(Portable Archive Interchange)(バックア ップ サービス) PAX は、標準の UNIX テープ形式を処理する VNX for file のアーカイブ プロトコルです。このプロトコ ルは、Control Station と Data Mover 間でのみ使 用されます。プライベート ネットワークでのみ使用 されます。 ローカル テープ バップアップを使用しない場合 は、このサービスを無効化できます。このサービス を無効にする方法については、Primus の ID emc49339 を参照してください。 PAX のバックグラウンド情報は、バックアップおよ び NDMP の関連する EMC マニュアルに記載され ています。このトピックには、さまざまなバックアッ VNX for File プライマリ ネットワーク サービス 47 通信セキュリティ 表 5 VNX for file Data Mover のネットワーク ポート (続き) ポート プロトコル デフォルトの状 サービス 態 備考 プ ツールを扱ったテクニカル モジュールがありま す。 5033 TCP 開放 ネットワーク ブロック サ iSCSI に類似した(およびその先駆けである)EMC ービス(NBS) 独自のプロトコル。このポートを開く NBS サービス は、VNX for file のコア サービスであり、停止する ことはできません。 外部的には、NBS はスナップショットおよびレプリ ケーション制御機能に使用されます。 Control Station と Data Mover の通信で使用され る場合、VNX for file のプライベート ファイル相互 接続ネットワークが使用されます。 5080 TCP 閉じている HTTP(FileMover のサポ HTTP は、FileMover およびいくつかの Control ートおよび内部インフラ Station と Data Mover の情報交換で転送メディア ストラクチャ) として使用されます。FileMover トラフィックは、ILM 関連ポリシー エンジンで Data Mover にコマンドを 送信するために使用されます。ポリシー エンジン は、HTTP ダイジェスト認証方法を使用して認証さ れます。詳細については、FileMover のドキュメン トを参照してください。設定コマンドと監視コマンド の説明については、「VNX FileMover の使用方法」 を参照してください。 Data Mover では HTTPS(HTTP over SSL)も使用で きます。 HTTP 転送は、Control Station と Data Mover の対 話処理でも使用されるので、このサービスを無効 にすることはできません。ただし、この処理では、 Data Mover が VNX キャビネット内のプライベート ネットワークを介して Control Station からの HTTP リクエストを受け付けることがだけが必要です。外 部エージェントによる HTTP サービスへのアクセス はデフォルトで無効になっています。 5081 TCP 開放 レプリケーション サービ Data Mover 間のレプリケーション コマンド。 ス 5083 TCP 開放 レプリケーション サービ このポートは、レプリケーション サービスに関連づ ス けられます。 5084 TCP 開放 レプリケーション サービ このポートは、レプリケーション サービスに関連づ ス けられます。 5085 TCP 開放 レプリケーション サービ このポートは、レプリケーション サービスに関連づ ス けられます。 7777 TCP 開放 統計情報モニタ サービ ス 48 VNX1, VNX2 VNX のセキュリティ構成ガイド これは、統計監視サービスのデフォルトのポート です。次のコマンドを実行して、このサービスを閉 じることができます。 server_stats [<movername>] -service -stop 通信セキュリティ 表 5 VNX for file Data Mover のネットワーク ポート (続き) ポート プロトコル デフォルトの状 サービス 態 備考 このサービスの構成方法については、「VNX の統 計の管理」を参照してください。 8887 TCP 閉じている レプリケーション サービ このポートは、プライマリ側でレプリケーションのた めに使用されます。このポートは、DR(データ リカ ス バリ)がリクエストされたときに Replicator によって 開かれます。このポートは、DR が完了したときに 閉じられます。レプリケーション サービスを使用す るクライアント(VNX for file システム以外)はこの ポートと通信できる必要があります。 8888 レプリケーション サービス 開放 RCP(レプリケーション サービス) このポートは、セカンダリ側で Replicator によって 使用されます。これは、何らかのデータのレプリケ ーションが必要になると同時に、Replicator により 開かれたままになります。開始されたサービスを 停止する方法はありません。 レプリケーション サービスを使用するクライアント (VNX for file サーバー以外)は、継続的に動作す るために、同じファイアウォールの背後に置かれ ている必要があります。 10000 TCP 開放 NDMP(バックアップ サ ービス) Network Data Management Protocol(NDMP)を使 用すると、サードパーティのソフトウェアをサーバ ーにインストールしなくても、ネットワーク バックア ップ アプリケーションで NDMP サーバーのバック アップとリカバリを制御できます。VNX for file で は、Data Mover が NDMP サーバーとして機能しま す。 NDMP テープ バップアップを使用しない場合は、 NDMP サービスを無効化できます。 NDMP サービスの認証は、ユーザー名とパスワー ドのペアが使用されます。ユーザー名は設定可能 です。さまざまな環境におけるパスワードの設定 方法については、NDMP マニュアルを参照してくだ さい。 10001~ 10004 TCP 閉じている NDMP 単一の 3way バックアップ/リストアの場合のみ、 Data Mover 間の TCP 接続でポート 10001 を使用 します。複数の 3way バックアップ/リストア セッシ ョンがある場合、Date Mover はポート 10001~ 10004 を使用します。 12345 TCP UDP 開放 UserMapper(CIFS) このポートは、usermapper サービスにより開かれ ます。このサービスは、VNX for file CIFS サービス に関連づけられているコア サービスであり、特定 の環境では停止しないようにする必要がありま す。 これは、SID ベースの Windows 認証情報を UNIX ベースの UID および GID 値をマップするために使 用されるメソッドです。 VNX for File プライマリ ネットワーク サービス 49 通信セキュリティ 表 5 VNX for file Data Mover のネットワーク ポート (続き) ポート プロトコル デフォルトの状 サービス 態 備考 このポートは閉じることができます。このために は、次のコマンドを使用します。 server_usermapper [<movername>] -disable Windows のみの環境およびマルチプロトコル環 境でこのサービスを構成する方法については、 「VNX ユーザー マッピングの構成」を参照してくださ い。 31491 UDP 開放 RFA(Remote File Access) NFS の機能 このポートを開くサービスは、RFA であり、NFS に 関連づけられている VNX for file のコア サービス です。これは停止できません。 38914 UDP 閉じている nfs forward(NFS クラス ターのインフラストラク チャ) これはパブリック サービスではありません。これ は、VNX for file 相互接続ネットワーク上でのみ使 用されます。外部クライアントはこのサービスに接 続する必要はありません。外部クライアントはファ イアウォールによってブロックされる可能性があり ます。このサービスは、VNX for File クラスタ製品 によって使用されます。 NFS クラスタが構成されているかどうかを確認す るには、nas_server -l コマンドを使用しま す。クラスタのタイプは「group」です。NFS クラスタ を削除するには、次のコマンドを使用します。 nas_server [<cluster_name>] -delete 49152~ 65535 TCP UDP 開放 statd NFS のサポート statd は、NFS ファイル ロックのステータス モニタ で、lockd と連動して機能して、NFS にクラッシュお よびリカバリ機能を提供します(NFS は本質的にス テータス情報を持たないプロトコルです)。 statd は、VNX for file のコア サービスですが、停 止することができます。このサービスを停止するに は、次の手順を実行します。 1. vi を使用して次のファイルを編集します。 /nas/server/<server_name>/netd 2. statd 行をコメント アウトします。statd は #statd になります。 3. Data Mover を再起動します。 これはアップグレード中に自動的にリセットされる ことがあります。必ず再確認してください。VNX for file NFS サービスに正当にアクセスできるクライア ントは、このポートにネットワーク接続されている 必要があります。 49152~ 65535 50 TCP UDP 開放 VNX1, VNX2 VNX のセキュリティ構成ガイド rquotad クォータのサポート rquotad デーモンは、ファイル システムをマウント した NFS クライアントにクォータ情報を提供しま す。VNX for file ファイル システムをマウントした NFS ユーザーは、quota コマンドを使用して、ファ 通信セキュリティ 表 5 VNX for file Data Mover のネットワーク ポート (続き) ポート プロトコル デフォルトの状 サービス 態 備考 イル システムのクォータ情報にアクセスできます。 このコマンドは、クライアント側で実行され、RPC を 使用して Data Mover の rquotad デーモンを調べ ます。 この機能を使用するには、クライアントがファイル システムをマウントしている必要があります。認証 は AUTH_SYS です。これは NFS プロトコルで使用 される認証に似ています。異なるユーザーのクォ ータ情報を取得するには、ファイル システムに対 する root アクセス権を持っている必要がありま す。rquotad を停止することはできません。 1. vi を使用して次のファイルを編集します。 /nas/server/<server_name>/netd 2. rquotad 行をコメント アウトします。rquotad は#rquotad になります。 3. Data Mover を再起動します。 これはアップグレード中に自動的にリセットされる ことがあります。必ず再確認してください。VNX for file NFS サービスに正当にアクセスできるクライア ントは、このポートにネットワーク接続されている 必要があります。 49152~ 65535 TCP UDP 開放 lockd NFS のサポート lockd は、NFS ファイル ロック デーモンです。この デーモンは、NFS クライアントからのロック リクエ ストを処理し、[statd]デーモンと連携して機能し ます。 lockd は、VNX for file のコア サービスですが、停 止することができます。このサービスを停止するに は、次の手順を実行します。 1. vi を使用して次のファイルを編集します。 /nas/server/<server_name>/netd 2. lockd 行をコメント アウトします。lockd は #lockd になります。 3. Data Mover を再起動します。 これはアップグレード中に自動的にリセットされる ことがあります。必ず再確認してください。 49152~ 65535 TCP UDP 開放 MAC MAC は、Control Station と Data Mover の間の専 用管理プロトコルです。このプロトコルは、この 2 つの間のプライベート ネットワーク上でのみ使用 されます。 このプロトコルは、コア サービスであり、停止する ことはできません。 VNX for File プライマリ ネットワーク サービス 51 通信セキュリティ VNX for file Control Station のネットワーク ポート 㽷 Unisphere を使用して、一部のネットワーク サービスを管理することができます。Unisphere のインタフェースには、ほとんどのネットワーク サービスの現在のステータス(有効または無 効)が表示され、これによりサービスを簡単に有効または無効にすることができます。システ ムを選択し、[ファイル設定] > [ネットワーク サービス]を選択します。ネットワーク サービス の有効と無効の切り替えの詳細については、Unisphere オンライン ヘルプを参照してくださ い。 表 6 VNX for file Control Station のネットワーク ポート ポート プロトコル デフォルトの状 態 サービス コメント 22 TCP オープン SSH SSH は、Control Station CLI を使用するためのシェ ルを取得する際のデフォルトの方法です。Telnet お よび他の関連サービスは、デフォルトでは有効にな りません。SSH は、Control Station にアクセスする ための推奨される方法です。認証は、Control Station 上のローカル ユーザー アカウント情報を 使用して、SSH デーモンによって処理されます。 㽷 このポートはコマンド/sbin/service sshd stop に続けて/sbin/chkconfig -levels 2345 sshd off を実行して閉じることができます が、この方法は推奨されていません。 80 TCP オープン HTTP これは標準の HTTP ポートです。このポートに送信 されるすべての HTTP 管理トラフィックは、HTTPS ポ ート(443)に自動的にリダイレクトされます。ポート 80 上で提供されるサービスはありません。 111 TCP UDP オープン rpcbind このポートを開く標準の portmapper プロセスまた は rpcbind プロセスは補助ネットワーク サービスで す。このサービスは停止できません。クライアント システムがポートにネットワーク接続されている場 合、クライアントはポートに対してクエリーを実行で きます。認証は実行されません。 123 UDP Closed NTP このポートは NTP(Network Time Protocol)に関連 づけられています。このポートは、Control Station 上で NTP が構成されているときに開くことができま す。 161 UDP Closed SNMP 管理インフラストラクチ ャ SNMP は、多くのサードパーティの管理ツールによ って使用される管理および監視サービスです。 Control Station では、RFC 1157 の定義に従って SNMP バージョン 1 が使用されます。このバージョ ンの SNMP では、監視対象の値を変更することは できません。認証は、クライアント システムが正し いコミュニティ文字列を使用していることが基になり 52 VNX1, VNX2 VNX のセキュリティ構成ガイド 通信セキュリティ 表 6 VNX for file Control Station のネットワーク ポート (続き) ポート プロトコル デフォルトの状 態 サービス コメント ます。デフォルトのコミュニティ文字列は「public」で あり、変更する必要があります。 SNMP を有効にするには、root アカウントからコマ ンド/sbin/service snmpd start を実行し、 その後に[/sbin/chkconfig snmpd on]を実行し ます。 SNMP サービスは、root アカウントからコマンド/ sbin/chkconfig snmpd off に続けて/ sbin/service snmpd stop を実行して無効 にすることができます。Control Station 上の SNMP を無効にすると、外部 SNMP 管理プラットフォーム は、自動検出も含めて、Control Station と通信でき なくなります。エンタープライズ管理ソフトウェアを 使用しない場合、Control Station で SNMP を無効 にできます。 199 TCP Closed SMUX このポートは、SNMP サービスに関連づけられてい ます。 427 TCP UDP オープン SLP ストレージ システムにより提供される利用可能なサ ービスをホスト(またはその他のリソース)が検出で きるようにします。 443 TCP オープン HTTPS これは、標準の HTTPS ポートであり、Unisphere と Celerra Monitor の両方によって、Control Station に送信される HTTP ベースの管理トラフィックで使 用されます。Unisphere で使用する場合、システム へのアクセス権が付与されるには管理者がログイ ンする必要があります。管理者は、ローカルの Control Station の管理ユーザー アカウントに対し て認証されます。Celerra Monitor には専用の認証 プロトコルがありますが、同じローカル管理ユーザ ー アカウントのセットが使用されます。 631 TCP UDP Closed CUPS IPP (バージョン 8.x よりも前の VNX OE for File を実行 しているシステムにのみ該当) このポートは、CUPS (Common UNIX Printing System)または IPP (Internet Printing Protocol)に関連づけられていま す。 843 TCP オープン FLEX/フラッシュ このポートは、crossdomain.xml ポリシー ファイル に関連づけられています。 5988 TCP オープン SMI-S デフォルトでは、EMC CIM サーバは、ポート 5988 (HTTP 用)とポート 5989(HTTPS 用)上でリスンしま す。これらのポートが他のプロセスによって使用さ れている場合、CIM サーバは起動しません。この サービスの構成方法の詳細については、「VNX 用 SMI-S プロバイダ プログラマ向けガイド」を参照してく ださい。 VNX for File プライマリ ネットワーク サービス 53 通信セキュリティ 表 6 VNX for file Control Station のネットワーク ポート (続き) ポート プロトコル デフォルトの状 態 サービス コメント 5989 TCP オープン SMI-S 詳細については、上の行の説明を参照してくださ い。 6389 TCP オープン Naviagent このポートはファイアウォールの背後に置くことが できます。 8,000 TCP オープン HTTP 何らかの理由で HTTPS が不要な場合、Celerra Monitor でこのポートを使用することができます。こ のポートは、Control Station 間でやり取りされるレ プリケーション コマンドでも使用されます。 Celerra Monitor が従うプロトコルでは、すべての受 信トラフィックが、認証され、有効なセッション トーク ンを保持する必要があります。Control Station から Control Station へのレプリケーション トラフィックで は、Control Station 間の明示的な信頼関係が事前 に確立されている必要があります。その後で、各 HTTP リクエストが、送信元の Control Station によ って暗号で署名されてから、受信先の Control Station に送信されます。有効な署名がないと、 HTTP リクエストは受け付けられません。 このポートを有効なままにすることをお勧めしま す。 8712 TCP オープン NBS このポートは、NBS サービスによって VNX for file 上の Control Station ファイル システムにアクセス するために使用されます。これは、Control Station と Data Mover の間のプライベート ネットワークに 制限されます。 9823 TCP オープン nas_mcd このポートは、2 つの nas_mcd プロセスが相互に 通信するために使用されます。これは、次の 2 つ の場合に使用されます。 l スタンバイ CS が、内部ネットワーク上でポート 9823 を使用するためにイベントを送信するよ うにプライマリ CS に要求する場合。 l VNX for File EMC SRDF および EMC ™ MirrorView で R1 および R2 の Control Station がポート 9823 を使用して IP ネットワ ーク経由で通信するように構成されている場 合。 ® MCD(Master Control デーモン)は、UNIX init プロ セスと同じように、システムのモニターとして機能し ますが、NAS を重視する NAS 固有の機能です。 このポートは、nas_mcd プロセス間の通信専用で あり、非常に限定されたインタフェースを提供しま すが、追加の認証は実行されません(標準の補助 ネットワーク サービスと同じです)。 9824 54 TCP オープン VNX1, VNX2 VNX のセキュリティ構成ガイド 共通キャッシュ このサービスは、複数の内部ネットワーク インター フェイスにバインドされる必要があり、その結果とし 通信セキュリティ 表 6 VNX for file Control Station のネットワーク ポート (続き) ポート プロトコル デフォルトの状 態 サービス コメント て外部インターフェイスにもバインドされます。ただ し、外部ネットワーク経由の着信リクエストは拒否さ れます。い 必要な場合は、IP テーブルを使用して、このポート への外部アクセスをブロックすることができます。 9825 TCP オープン Indication Manager このサービスは、複数の内部ネットワーク インター フェイスにバインドされる必要があり、その結果とし て外部インターフェイスにもバインドされます。ただ し、外部ネットワーク経由の着信リクエストは拒否さ れます。い 必要な場合は、IP テーブルを使用して、このポート への外部アクセスをブロックすることができます。 9826 TCP オープン Indication Manager このサービスは、複数の内部ネットワーク インター フェイスにバインドされる必要があり、その結果とし て外部インターフェイスにもバインドされます。ただ し、外部ネットワーク経由の着信リクエストは拒否さ れます。い 必要な場合は、IP テーブルを使用して、このポート への外部アクセスをブロックすることができます。 *コメントを参 照。 TCP UDP オープン statd、lockd *[statd]とともに動作する[lockd]デーモンといっ た、Control Station 上で実行されるネイティブ Linux の NFS RPC(リモート プロシージャ コール)サ ービスでは動的ポートが使用されます。これらの動 的ポートは、 /sbin/service nfslock stop の実行後 に/sbin/chkconfig --levels 2345 nfslock off を実行することで閉じることができ ます。 㽷 これらのコマンドを実行すると、NFS が正しく動作し ないことがあります。 VNX for File 送信ネットワーク接続 たとえば、Microsoft Active Directory または LDAP サーバーなどのディレクトリ サーバーと 通信する場合など、いくつかの環境では、プライマリ サーバーである VNX for file もネットワ ーク クライアントとして機能します。 これらの場合、VNX for file が通信を開始し、ネットワー ク インフラストラクチャはこれらの接続をサポートする必要があります。 Data Mover によっ て開始されるネットワーク接続(56 ページ)に、対応するサービスを適切に機能させるた めに、Data Mover がアクセスを許可される必要があるポートについての説明が記載されて います。 Control Station によって開始されるネットワーク接続(57 ページ)には、対応する サービスを適切に機能させるために、Control Station がアクセスを許可される必要がある ポートについての説明が記載されています。 VNX for File 送信ネットワーク接続 55 通信セキュリティ Data Mover が接続するポート 表 7 Data Mover によって開始されるネットワーク接続 プロト コル ポート 目的 TCP/UD 53 P DNS すべての Windows 2000 以降のド メイン コントローラ/DNS サーバー TCP FileMover FileMover 用の発信 HTTP 接続 TCP/UD 88 P Kerberos チケット すべての Kerberos KDC(キー配布 センター)。 これは、Windows 2000 以降のドメイン コントロー ラ、および UNIX と Linux の KDC に適用されます。 TCP/UD 111 P 以下の複数の目的があります。 すべての NFS クライアント、VC サ ーバー、および NIS サーバー 80 TCP/UD 137 P UDP TCP UDP 138 139 161 TCP/UD 389 P TCP 56 対象のホスト 443 VNX1, VNX2 VNX のセキュリティ構成ガイド l Portmapper l Data Mover は、NFSv4 認証の一部とし てこのポートに接続する場合がありま す。 以下の複数の目的があります。 l WNS l Data Mover は、NFSv4 認証の一部とし てこのポートに接続する場合がありま す。 以下の複数の目的があります。 l NETBIOS Datagram Service l Data Mover は、NFSv4 認証の一部とし てこのポートに接続する場合がありま す。 以下の複数の目的があります。 l CIFS(ドメイン コントローラ上) l Data Mover は、NFSv4 認証の一部とし てこのポートに接続する場合がありま す。 すべての WINS サーバー すべての CIFS クライアント(通知 およびポップアップのために使用 されます) すべての Windows NT ドメイン コ ントローラ SNMP Data Mover が SNMP トラップを送 信するすべてのホスト 以下の複数の目的があります。 すべての Windows 2000 以降のド メイン コントローラまたは他の LDAP サーバー l LDAP l Data Mover は、NFSv4 認証の一部とし てこのポートに接続する場合がありま す。 FileMover FileMover 用の発信 HTTPS 接続 通信セキュリティ 表 7 Data Mover によって開始されるネットワーク接続 (続き) プロト コル ポート 目的 対象のホスト TCP 445 すべての Windows ドメイン コント ローラ TCP/UD 464 P 以下の複数の目的があります。 l CIFS(ドメイン コントローラ上) l Data Mover は、NFSv4 認証の一部とし てこのポートに接続する場合がありま す。 すべての Windows 2000 以降のド メイン コントローラまたは他の KPASSWDP サーバー 以下の複数の目的があります。 l Kerberos パスワード l Data Mover は、NFSv4 認証の一部とし てこのポートに接続する場合がありま す。 TCP/UD 625 P (バージョン 8.x よりも前の VNX OE for File を実行しているシステムにのみ該当)FMP Windows MPFS クライアント TCP/UD 636 P LDAPS SSL 経由の LDAP TCP/UD 6907 P (バージョン 8.x よりも前の VNX OE for File を実行しているシステムにのみ該当)FMP UNIX MPFS クライアント UDP LDAP Windows 2000 以降の全般的なカ タログへのクエリー TCP/UD 動的 P lOCKD すべての NFS クライアント TCP/UD 動的 P Statd すべての NFS クライアント TCP/UD 動的 P NIS NIS サーバー 3268 Control Station が接続するポート 表 8 Control Station によって開始されるネットワーク接続 プロト ポート 目的 コル 対象のホスト TCP 21 ConnectHome 構成済み ConnectEMC FTP サーバ ー TCP 25 通知 ConnectEMC またはアラートのため の SMTP サーバー(構成されている 場合) TCP/U 53 DP DNS DNS サーバー(構成されている場 合) TCP 以下の複数の目的があります。 80 l VNX for Block 管理コンソール VNX for File 送信ネットワーク接続 57 通信セキュリティ 表 8 Control Station によって開始されるネットワーク接続 (続き) プロト ポート 目的 コル 58 l Navisphere l HTTP を使用した VNX for Block ストレー ジ ドメイン マスターへの接続 対象のホスト l 指定されたストレージ ドメイン マスター TCP/U 123 DP NTP NTP サーバー(構成されている場 合) UDP SNMP トラップ VNX for Block 管理コンソール TCP/U 389 DP LDAP すべての Windows 2000 以降のド メイン コントローラまたは他の LDAP サーバー TCP 以下の複数の目的があります。 162 443 l Navisphere l HTTP を使用した VNX for Block ストレー ジ ドメイン マスターへの接続 l 一部のレプリケーション関連の トラフィックのための Control Station から Control Station へ の通信 l 指定されたストレージ ドメイン マスター TCP/U 636 DP LDAPS TCP 2162 HTTP を使用した VNX for Block ストレージ ド 指定されたストレージ ドメイン マス メイン マスターへの接続(オプション、ドメイ ター ンがポート 80 の代わりにこのポートを使用 するように構成されている場合のみ必要で す) TCP 2163 HTTPS を使用した VNX for Block ストレージ 指定されたストレージ ドメイン マス ドメイン マスターへの接続(オプション、ドメ ター インがポート 443 の代わりにこのポートを使 用するように構成されている場合のみ必要 です) TCP 8000 以下の複数の目的があります。 l Navisphere l HTTP を使用した VNX for Block ストレー ジ ドメイン マスターへの接続 SSL を使用するすべての Windows 2000 以降のドメイン コントローラま たは他の LDAP サーバー l 一部のレプリケーション関連の トラフィックのための Control Station から Control Station へ の通信 l 指定されたストレージ ドメイン マスター TCP 9998 HTTP を使用した VNX for Block ストレージ ド 指定されたストレージ ドメイン マス メイン マスターへの接続(オプション、ドメイ ター ンがポート 80 の代わりにこのポートを使用 するように構成されている場合のみ必要で す) TCP 9999 HTTPS を使用した VNX for Block ストレージ 指定されたストレージ マスター ドメイン マスターへの接続(オプション、ドメ インがポート 443 の代わりにこのポートを使 VNX1, VNX2 VNX のセキュリティ構成ガイド 通信セキュリティ 表 8 Control Station によって開始されるネットワーク接続 (続き) プロト ポート 目的 コル 対象のホスト 用するように構成されている場合のみ必要 です) ネットワークの暗号化 ストレージ管理サーバーは、VNX for Block で Unisphere コンポーネントによって使用される ポート(34 ページ)に示すようなストレージ管理サーバーと通信相手のクライアント コンポー ネントの間で渡されるすべてのデータ(Web ブラウザー、Secure CLI)およびストレージ管理 サーバー間で渡されるすべてのデータを 256 ビット(また 128 ビットもサポートされます)対 称暗号化します。 暗号化は SSL/TLS を使用して行われ、RSA 暗号化アルゴリズムが採用さ れており、E コマースと同じ強度の暗号形式を実現しています。 暗号化により、データが企 業ファイアウォール内のローカル LAN に存在するのか、またはストレージ システムがインタ ーネット経由でリモートから管理されているのかを問わず、転送されるデータがのぞき見さ れないようにします。 ストレージ管理サーバーは、業界標準のポート 443 を使用して SSL/TLS をサポートするた め、ファイアウォールのルール セットとの統合が容易です。 業界標準以外のポートを使用 する必要があるお客様のために、ストレージ管理サーバーはポート 2163 を使用した SSL/TLS もサポートします(VNX for Block のみ)。 ポートの選択は、ストレージ システム ネッ トワークを設定するときに行います。 SSL/TLS 通信には、同じドメイン内にインストールされ るすべてのストレージ管理サーバーで同じポートを使用することを推奨します。 㽷 Unisphere が Web ブラウザ内で動作する Java ベースのアプレットです。 アプレットがダウ ンロードされると、ブラウザではなく、アプレットが SSL/TLS を使って通信します。 ブラウザの URL は変わりません。 VNX for File は、Data Mover の HTTP(Hypertext Transfer Protocol)接続および LDAP (Lightweight Directory Access Protocol)接続で SSL(Secure Socket Layer)をサポートしま す。 Windows ホスト上にインストールされるストレージ管理サーバーのインスタンスは、SP 上で 実行されるものと同じ通信セキュリティ メカニズムを使用します。ただし、アプリケーションは ホスト上で実行されるので、Unisphere ドメイン構成およびセキュリティ情報を保護するため の追加のセキュリティ対策が実施されます。 まず、管理者レベルのアカウントのみがインス トール ディレクトリにアクセスできるように ACL が設定されます。 さらに、ファイルが暗号化 されます。 VNX Unified/File システムでの SSL の構成 SSL 構成は、/nas/httpd/conf/httpd.conf ディレクトリに含まれており、NAS(ネットワーク ス トレージ エリア)が稼動しているときの SSL 通信を制限します。 既存の SSL 構成を使用す ることを推奨します。ただし、VNX Unified/File システムの SSL 構成を変更する必要がある 場合は、root として/nas/httpd/conf/httpd.conf を変更する必要があります。 ネットワークの暗号化 59 通信セキュリティ 㽷 httpd.conf に加えた変更は、アップグレードを実行すると失われます。 /nas/httpd/conf/ httpd.conf の以前の変更を使用する予定の場合は、変更内容を記録してください。 アップ グレードが完了した後で、/nas/httpd/conf/httpd.conf の以前の変更を再び入力する必要 があります。 HTTPS の使用 現在、VNX for File の FileMover 機能では、HTTPS および SSL の暗号化および認証機能を 使用しています。 FileMover 用に HTTP で SSL を使用するように構成する方法については、 「VNX FileMover の使用方法」を参照してください。 SSL で使用される鍵と証明書は、PKI を使 用して管理されます。 PKI は Unisphere および CLI で使用できます。 PKI 機能の概要につ いては、VNX for File での公開鍵基盤の計画に関する考慮事項(62 ページ)を参照してく ださい。 LDAP SSL の使用 現在、OpenLDAP、iPlanet、Active Directory に対する VNX for File のネーム サービスのサ ポートでは、LDAP および SSL の暗号化および認証機能が使用されています。 OpenLDAP や iPlanet の LDAP ベースのディレクトリ サーバーに使用する LDAP 付き SSL を構成する方 法については、「VNX ネーム サービスの構成」を参照してください。 SSL で使用される鍵と証 明書は、PKI を使用して管理されます。 PKI は VNX for File CLI および Unisphere 経由で使 用できます。 PKI 機能の概要については、VNX for File での公開鍵基盤の計画に関する考 慮事項(62 ページ)を参照してください。 SSL 証明書 クライアントがネットワーク経由でサーバに接続するたびにクライアントがサーバの ID を検 証できるようにすることが重要です。そのようにしないと、ネットワーク上の任意のノードがサ ーバになりすましてクライアントから情報を抽出する可能性があります。これは中間者攻撃 として知られています。 Unisphere では、公開鍵暗号形式を使用してストレージ管理サーバの ID を検証します。各 VNX SP および Control Station は、PKI 証明書を備えており、そこにはストレージ管理サー バがクライアントに提示する対応する公開鍵が含まれています。この証明書は、デフォルト で自己署名されますが、ユーザーは信頼できるサード パーティによって署名された証明書 をインポートすることができます。クライアントがその信頼できるサード パーティに対する root 証明書を保有している場合(Web ブラウザには一般的な認証機関からの証明書がプリ インストールされています)、そのサーバは本質的に信頼されます。これは、Web ブラウザ がほとんどの安全な Web サイトを本質的に信頼するのと同じメカニズムです。 㽷 VNX システムでは最初から SHA-1 証明書がサポートされています。SHA-2 をサポートする には、独自の SHA-2 証明書をインポートする必要があります。 証明書には 2048 ビット RSA で暗号化された鍵が含まれている必要がありますが、最小 1024 ビットの鍵もインポートを許可されます。VNX for Block の場合、ユーザー証明書を管 理するためのインターフェイスは、次の場所にあります。 https://<SP_IP_address>/setup(ユーザー名とパスワードによる認証、または naviseccli security-pkcs12upload スイッチが必要です) 60 VNX1, VNX2 VNX のセキュリティ構成ガイド 通信セキュリティ 㽷 VNX for Block のユーザー証明書を管理するためのインターフェイスについては、EMC オン ライン サポート用 Web サイト(http://Support.EMC.com)にあるナレッジベースの記事「How to create and import SSL certificate via openssl/CA to VNX/Clariion SP (with or without SHA2)」 を参照してください。naviseccli コマンドの詳細については、mydocs.emc.com にある「VNX Series Command Line Interface Reference for Block」を参照してください。 Unisphere は、接続先のストレージ システムの証明書を検証するだけでなく、ドメイン内の すべての VNX システムの証明書を検証します。USM(Unisphere Service Manager)、CLI、 Unisphere Server Utility のようなその他のクライアント ソフトウェアは、ストレージ システム への接続時に証明書の検証を実行します。ストレージ システムで実行されている管理サー バも、LDAP や ESX/Virtual Center のような外部サーバに接続する際に証明書を検証しま す。 仕組み クライアント(Unisphere、CLI、USM など)がサーバ(ストレージ管理サーバ、LDAP など)に初 めて接続するときに、サーバから証明書を提示されます。ユーザーは証明書の詳細を確認 して、その証明書を受け入れるか拒否するかを判断できます。ユーザーが証明書を拒否し た場合、サーバとの通信が停止します。ユーザーが証明書の受け入れた場合、通信が続 行され、証明書が証明書ストアに保存されます。次にクライアントとそのサーバが通信する ときには、サーバの証明書は証明書ストア内の証明書を使用して検証されます。プロンプト はサーバとの初めての通信時に表示されます。証明書が保存されると、証明書検証プロセ スはバックグラウンドで実行されます。 サーバに初めて接続したときに次のオプションがユーザーに表示されます。 セッションの間受け入れる - このセッションの間のみシステムを管理するための証明書 を受け入れます。以降のセッションでは証明書の受け入れを求めるプロンプトが再び表 示されます。 l 常に受け入れる - このオプションを選択すると、証明書がクライアントの証明書ストアに 保存されます。その後の通信では証明書はバックグラウンド タスクで検証されます。ユ ーザーにプロンプトが再び表示されることはありません。 l 拒否 - ユーザーが証明書を信頼しない場合、ユーザーは証明書の拒否を選択すること ができ、通信は停止します。 Unisphere と USM は、証明書の保存に Java 証明書ストアを使用します。証明書ストアは、 Java のコントロール パネルを使用して管理できます。Block CLI および Unisphere Server Utility は、クライアントのユーザー ディレクトリに証明書ストアを作成します。Unisphere、 USM、および Unisphere Server Utility では、ストレージ システムへの接続時に証明書の検 証を実行します。 l ストレージ管理サーバも、LDAP や ESX/Virtual Center サーバと通信するときに証明書の検 証を実行します。証明書はストレージ システムに保存され、[LDAP サーバーと VMware サ ーバーの信頼された証明書]に表示されます(Unisphere では[設定] > [セキュリティ] > [ブ ロックのサーバー証明書]を使用します)。 SSL を使用したディレクトリ サーバーへの接続 LDAP トラフィックを保護し、クライアントとサーバー アプリケーションのセキュリティを向上さ せるため、LDAP ベースのディレクトリ サーバーでは SSL の利用をサポートできるようになっ ています。場合によっては、SSL を利用することが必要となります。 SSL を使用した場合、暗 号化機能と認証機能を利用できます。 ネットワーク上で転送されるデータが暗号化され、ま た、メッセージとサーバーが認証されます。 サーバーから要求された場合、クライアント認 証もサポートします。 SSL では、デジタル証明書(信頼性は CA により検証される)が使用さ れます。 LDAP クライアントでは、SSL クライアントを基盤として、LDAP ベースのディレクトリ サーバー から受信した証明書を認証します。 証明書の検証の成功条件として、CA 証明書(ディレクト SSL を使用したディレクトリ サーバーへの接続 61 通信セキュリティ リ サーバーの証明書に署名を行った CA からの証明書)が Control Station にインポートさ れている必要があります。そうでない場合、証明書の検証は失敗します。 㽷 Control Station の LDAP ベースのクライアント実装では、相互 SSL クライアント認証はサポ ートされていません。 VNX for File での公開鍵基盤の計画に関する考慮事項 VNX for File の PKI(公開鍵基盤)は、SSL が有効な Data Mover LDAP および HTTP 接続に デジタル証明書を使用できるようにする、ソフトウェア管理システムとデータベース システム を実現します。 SSL では、接続の一端または両端を識別するために、CA(認証局)によって 信頼性が検証された証明書が使用されます。これにより、クライアントとサーバー間のセキ ュリティが強化されます。 㽷 VNX for File の PKI フレームワークは、X.509 証明書規格をサポートします。 証明書は、DER (Distinguished Encoding Rules)を使用してエンコードされます。また、メール システム経由 で容易に配布できるように、さらに PEM(Privacy Enhanced Mail)形式でエンコードすること もできます。 ペルソナ ペルソナは、Data Mover がサーバーまたはクライアントとして動作する場合に、その ID を 指定するために使用されます。 クライアントとの間のセキュリティ保護された接続をネゴシエ ートする場合(外部ポリシーと FileMover で使用される移行ソフトウェアなど)、ペルソナは、 Data Mover(サーバーとして動作)に対して秘密鍵および証明書を指定します。 この証明書 により、クライアントはサーバーを識別し、認証することができます。 クライアント認証を要求 するように構成されたサーバーとのセキュリティで保護された接続をネゴシエートする場合、 ペルソナは、Data Mover(クライアントとして動作)に対して秘密鍵および証明書を指定しま す。 この証明書により、サーバーはクライアントを識別し、認証できます。 デフォルトでは、各 Data Mover は default という 1 個のペルソナで構成されます。 ペルソナ が Data Mover に対して指定する証明書を作成するには、まずペルソナの公開鍵/秘密鍵 のセットを生成します。 次に、CA による署名済み証明書を要求する必要があります。 証明 書要求は、PEM(Privacy Enhanced Mail)形式でのみ生成されます。 㽷 現在は、それぞれの Data Mover には 1 個のペルソナのみが許可されます。 VNX for File では、追加のペルソナを作成するメカニズムはサポートされません。 Control Station を CA として使用している場合、Control Station では、証明書要求を自動的 に受け取り、証明書を生成および署名して Data Mover に返します。 Control Station では、 キャビネット内のすべての Data Mover の証明書に署名できます。 これを使用して、外部ホ ストの証明書に署名することはできません。 外部 CA を使用している場合、証明書要求を手動で送信する必要があります。 公開鍵に対 する署名要求は、公開鍵/秘密鍵のセットとともに生成されます。 その内容を検証するに は、ペルソナのプロパティを表示します 証明書要求のコピーを取得してから、当該機関の Web サイトまたはメール経由で CA に要求を送信します。 CA から署名済み証明書が返されたら、それを Data Mover にインポートする必要がありま す。 署名済み証明書をインポートするには、パスを指定してファイルをインポートするか、対 応するテキストをカット アンド ペーストします。 ファイルは、DER(Distinguished Encoding 62 VNX1, VNX2 VNX のセキュリティ構成ガイド 通信セキュリティ Rules)形式でも PEM 形式でもかまいません。 PEM 形式の場合のみ、テキストをカット アン ド ペーストできます。 各ペルソナは、最大で 2 個の鍵と証明書のセット(現在と次回)に関連づけることができま す。これにより、現在の証明書の有効期限が切れる前に、新しい鍵と証明書を生成できま す。 次回の証明書(すでに有効)をインポートすると、その証明書および対応する鍵のセット が、即座に現在の鍵セットおよび証明書となります。 通常、次回の証明書は必要になった場合に生成されるため、ペルソナに関連づけられた次 回の証明書を確認することはありません。 ただし、Data Mover と CA(または CA として動作 している Control Station)の間で時間差がある場合、次回の証明書が待機状態になってい る場合があります。 たとえば、CA が証明書に将来の開始日を割り当てることで、証明書が 事前に準備される場合があります。 合併により吸収される会社などは、そのような証明書 が正式な合併日に配備されるように設定する場合があります。 次回の証明書が有効になり(Data Mover 時間ごと)、以下のいずれかが行われた場合、次 回の証明書が現在の証明書になります(現在の鍵と証明書は削除されます)。 l ペルソナに対するクエリーが(CLI または Unisphere から)実行される。 l ペルソナの鍵と証明書が Data Mover の機能(SSL など)によって要求される。 証明書の有効期限が切れると、その証明書を使用しようとしても失敗します(通常、接続が 失われるか、再接続できません)。 新しい証明書が利用可能になると、それが要求された 場合に PKI で古い証明書が削除され、新しい証明書が作成されます。 ただし、現在の証明 書の有効期限が切れる前に新しい証明書を取得しておかないと、証明書要求は失敗しま す。 PKI は、ペルソナに対して有効期限が切れた証明書は提供しません。 有効期限が切れた公開鍵証明書を自動的に確認する方法はありません。 ペルソナをリスト し、対応する証明書の有効期限が切れる日付を確認することで、有効期限が切れた証明書 を手動で確認する必要があります。 その後、組織のビジネス プラクティスに基づいて対処し ます。 CA(認証局)の証明書 VNX for File ベースのクライアント アプリケーションがサーバーとのネットワーク接続(そのセ カンダリ ストレージとの FileMover 接続など)をリクエストする場合、サーバーは、セキュリテ ィ保護された接続のネゴシエーションの一部として証明書を指定します。 クライアント アプリ ケーションは、証明書を検証することで、サーバーの ID を確認します。 CA 証明書の公開鍵 とともにサーバー証明書の署名を検証して、この確認を行います。 必要な CA 証明書の取得は、手動で行います。 通常、実際の操作を行う前に、該当する CA を識別する必要があります。 次に、利用可能な CA 証明書のリストを確認します。 新しい CA 証明書が必要であり、外部 CA が使用されている場合、当該機関の Web サイトまたは セキュリティ担当者から CA 証明書を取得できます。 CA がローカルである場合(エンタープ ライズ レベルまたは組織内)、CA を管理する担当者から CA 証明書を取得します。 CA 証明書をシステムに認識させるには、インポートする必要があります。 パスを指定してフ ァイルをインポートするか、対応するテキストをカット アンド ペーストします。 ファイルは DER 形式または PEM 形式です。 PEM 形式の場合のみ、テキストをカット アンド ペーストできま す。 CA としての Control Station の使用 システムがインストールまたはアップグレードされると、システム ソフトウェアは、Control Station の鍵セットと証明書を自動的に生成します。 Control Station は、この鍵セットと証明 書を使用して、Data Mover からの証明書要求に署名します。 ただし、Control Station を CA として正常に動作させ、Data Mover にそれを CA と認識させるには、いくつかの構成タスク を実行する必要があります。 l Control Station CA 証明書をネットワーク クライアントに配布します。 ネットワーク クライ アントが、Data Mover から送信される Control Station により署名済みの証明書を検証 CA(認証局)の証明書 63 通信セキュリティ するには、クライアントは Data Mover 証明書の署名を検証するための CA 証明書の公 開鍵を保持している必要があります。 l CA 証明書を(外部の CA からの CA 証明書とともに)インポートします。 Control Station 証明書のコピーは、CLI を使用することでのみ取得できます。 Control Station の鍵セットおよび証明書に問題が発生した場合は、再生成できます。 このタスク は、CLI コマンドによってのみ実行できます。 Control Station の鍵セットと証明書を再生成し た後、新しい鍵セットと証明書の要求を再生成し、証明書が Control Station によって署名さ れるペルソナについて署名済み証明書をインポートする必要があります。 㽷 Control Station は、Apache Web サーバー(Unisphere の代わり)とユーザーの Web ブラウ ザの間の SSL ベース接続について個別の鍵セットを継続して生成します。 ただし、現在 Control Station は、CA の鍵セットを使用して Apache Web サーバーの証明書に署名します (現在、証明書は自己署名ではありません)。 Unisphere の証明書を管理する方法につい ては、「VNX for File 管理アプリケーションのインストール」を参照してください。 Control Station のお客様提供の証明書 より厳格な要件を満たすために、VNX ユーザーが HTTPS 通信用の独自の X.509 証明書を Control Station にインストールおよび構成することは許可されます。 お客様提供の X.509 証明書の形式と内容は、ユーザーに任されます。 証明書を PEM によ って暗号化する必要があり、パスワードと関連づけるべきではありません。 関連づけた場合 には、 Apache Web サーバーを無人で開始することができなくなるため、フェイルオーバー と再起動の操作の妨げとなります。 㽷 お客様提供の証明書を要求してインストールする方法の例については、お客様提供の Control Station 用証明書の要求とインストール(133 ページ)を参照してください。 フェイルオーバー後のデータ消失の可能性に備えて、お客様提供のプライベート キーはデ ィレクトリ/nas/http/conf/ssl.key にコピーされ、証明書は/nas/http/conf/ ssl.crt にコピーされる必要があります。 新しいプライベート キーと証明書が所定の位置 にある場合は、ディレクトリ/nas/http/conf にある現在のキーと証明書が、それぞれ新 規にインストールされたプライベート キーと証明書をポイントするように更新されていること を確認します。 㽷 ユーザー root がプライベート キーを所有し、権限が 600(-rw-------)に設定されている必要 があります。 公開証明書もユーザー root が所有する必要がありますが、権限は 644(-rwr--r--)に設定されます。 証明書とプライベート キーを更新した後で、変更を有効にするために Apache を再起動する 必要があります。 手順については、お客様提供の Control Station 用証明書の要求とイン ストール(133 ページ)の例の最後の手順を参照してください。 㽷 サポートされている Web ブラウザを Control Station にポイントした後で、HTTPS 接続の特 性を参照することにより、新しいサーバー証明書を検証できます。 64 VNX1, VNX2 VNX のセキュリティ構成ガイド 通信セキュリティ VNX for File システム上の IP Packet Reflect IP Packet Reflect を使用すると、より高いレベルのセキュリティをネットワークに提供できま す。 Data Mover 上のネットワーク トラフィックの大部分(すべてのファイル システムの I/O を含む)はクライアントによって開始されるため、Data Mover ではクライアント リクエストへ の応答に Packet Reflect を使用します。 Packet Reflect を使用すると、応答パケットを送信 するルートを決定する必要がなくなります。 応答パケットは常にリクエスト パケットと同じイ ンタフェースから送信されるため、リクエスト パケットを使用して間接的に他の LAN にトラフ ィックを集中させることはできません。 ネットワーク デバイスが 2 個存在し、一方のデバイス はインターネットに接続され、もう一方のデバイスはイントラネットに接続されている場合、イ ンターネット リクエストに対する応答はイントラネットには表示されません。 また、VNX for File で使用される内部ネットワークは、外部ネットワークのいかなるパケットからも影響を受 けません。 この機能を構成する方法については、「VNX ネットワークの構成と管理」を参照してください。 フィルタリング管理ネットワークの効果 VNX システムは、信頼される IP アドレスのみに管理リクエストを制限することができます。 フィルタの目的は関連するコンポーネントのみに対象を絞ることで、残りの環境に与える影 響を最小限に抑えることです。 IP フィルタリングは、ストレージ システムまたはストレージ シ ステムのドメインの管理を特定の IP アドレスのセットを持つ管理ホストに制限するように設 計されています。 これはファイアウォールではなく、ストレージ システムへの全アクセス ポイ ントに対応するわけではありません。 IP フィルタリングは次の対象へのアクセスを制限します。 l Unisphere 管理ポート(UI、CLI) l Unisphere セットアップ ページ l Unisphere Initialization Tool l HAVT(High Availability Verification Tool)レポート l RemotelyAnywhere IP フィルタリングは次の対象へのアクセスを制限しません。 l iSCSI ポート l Unisphere サービスとシリアル ポート l ピア SP を使用した Unisphere の通信 l Unisphere Agent(ポート 6389)のリクエスト vSphere Storage API for Storage Awareness(VASA)のサポート VASA は、VMware で定義された、ベンダーに依存しないストレージ認識 API です。 これは、 独自の SOAP ベースの Web インタフェースで、Unisphere クライアントではなく VMware クラ イアントによって使用されます。 VASA は、レポート インタフェース専用であり、仮想環境に 公開される VNX とストレージ デバイスに関する基本的な情報をリクエストするために使用さ れます。これらは、vSphere を使用した日常のプロビジョニング、監視、およびトラブルシュ ーティングを促進するために使用されます。 Unisphere の場合、Control Station(VNX for File/Unified の場合)とストレージ プロセッサ (VNX for Block の場合)の両方で、VP(VASA Provider)コンポーネントが VNX に組み込まれ ています。 vSphere ユーザーは、これらの VP インスタンスを各ストレージ システム用の VASA 情報のプロバイダとして構成する必要があります。 VNX for File システム上の IP Packet Reflect 65 通信セキュリティ 㽷 VNX for Block VP への接続をセットアップするときには、1 つの SP のみをターゲットにする 必要があります。 SP A と SP B のどちらも同じ情報を VASA に返します。 SP がダウンする と、クライアントは VP への接続を失います(つまり、自動フェイルオーバーは実行されませ ん)。 クライアントは、ダウンした SP が復帰するのを待つか、ピア SP への新しい接続の確 立を試すことができます。 両方の SP をターゲットにすることもできますが、返される情報が 冗長になり、VMware のクライアントの実装方法によっては、重複したイベントやアラームが 発生する可能性があります。 vCenter から Unisphere VP への接続を開始するには、vSphere クライアントを使用して次の 3 つの情報を入力する必要があります。 l VP の URL l administrator、securityadmin、または vmadmin の役割(ローカル、グローバル、また は LDAP 範囲)を持つ Unisphere ユーザーのユーザー名 l そのユーザーに関連づけられているパスワード ここで使用される Unisphere 認証情報は、この接続の最初のステップ中にのみ使用されま す。 Unisphere 認証情報がターゲットの VNX に対して有効な場合、vCenter Server の証明 書が自動的に VNX に登録されます。 この証明書は、vCenter からの後続のすべてのリクエ ストを認証するために使用されます。 この証明書を VP にインストールまたはアップロードす るために手動の操作は必要ありません。 vCenter セッション、安全な接続と認証情報 vCenter セッションは、vSphere 管理者が vSphere クライアントを使用して、VASA VP URL と ログイン認証情報を vCenter Server に入力したときに開始されます。 vCenter Server は、こ の URL、認証情報、および VASA VP の SSL 証明書を使用して、VP との安全な接続を確立 します。 vCenter セッションは、管理者が vSphere クライアントを使用して、vCenter の構成 から VP を削除し、vCenter Server が接続を終了したときに終了します。 vCenter セッションは、vCenter Server と VP の間のセキュア HTTPS 通信を基にしています。 VASA アーキテクチャでは、SSL 証明書と VASA セッション ID を使用して安全な接続をサポ ートします。 vCenter Server と VP の両方が他方の証明書を専用の信頼ストアに追加しま す。 特別な構成 Unisphere は、時間と場所を選ばずに VNX ストレージ システムを管理するための強力なセ キュリティを提供します。 ただし、プロキシ サーバーや NAT(ネットワーク アドレス変換)など のいくつかのネットワーク構成は、調べて対処する必要があります。 プロキシ サーバー Unisphere はプロキシ サーバーをサポートしません。 プロキシ サーバーを使用してマネー ジメント サーバーの IP アドレスにアクセスしないようにブラウザーを設定する必要がありま す。 Unisphere Service Taskbar は、プロキシ サーバー経由のインターネット アクセスをサポート します。 これは、ツールが EMC Powerlink Web サイトにアクセスして、VNX Operating Environment(OE)for Block のアップグレードの最新のソフトウェアを取得できるようにする ため重要です。 Unisphere Client/Server および NAT NAT(ネットワーク アドレス変換)は、パケットがルータを通過するときに、IP パケットのソース とデスティネーションのアドレスを書き直します。 NAT の主な用途は、内部ホストを外部ネッ 66 VNX1, VNX2 VNX のセキュリティ構成ガイド 通信セキュリティ トワークから隠すことです。 これは、セキュリティが目的の場合もあれば、多くの内部ホスト が 1 つの外部 IP アドレスの下でクラス C の IP アドレスおよびマスカレードを使用できるよう にすることが目的の場合もあります。 NAT は、Unisphere ツールが使用するプロトコルを含 む、多くの通信プロトコルで問題になることがあります。 Unisphere クライアント/サーバーは、NAT ゲートウェイを使用した 1 つのストレージ システ ムの管理をサポートします。 その 1 つのストレージ システムのみが検知されます。 ドメイン の場合はユーザーがドメイン内のすべてのノードの NAT アドレスを入力する必要があるの でドメインはサポートされません。 Unisphere がストレージ システムから直接起動される場合または CLI、Unisphere Service Manager などの他のツールを使用して起動される場合、NAT 接続はサポートされません。 その他のセキュリティに関する考慮事項 IT 製品ベンダーやセキュリティ監視機関によって潜在的なセキュリティ上の脅威が毎日のよ うに発表されています。 EMC は、各脆弱性に対する迅速な対策をお客様に提供することを お約束します。 これらの対策は EMC 製品に影響する場合があり、修正や防止のための措 置が含まれます。 EMC の各対策については、EMC オンライン サポート用 Web サイト (http://Support.EMC.com)のナレッジベースの記事を参照してください。 利便性を向上さ せるために、すべての公開されている脆弱性と EMC の対策のリストが、Security Alerts Master List(ナレッジベース記事 83326)という名前で EMC オンライン サポート Web サイト に掲載されています。 その他のセキュリティに関する考慮事項 67 通信セキュリティ 68 VNX1, VNX2 VNX のセキュリティ構成ガイド 第5章 データ セキュリティの設定 㽷 この章に記載されている情報は、VNX Operating Environment(OE)for Block バージョン 5.33 以降を実行している VNX システムのみに関連しています。 データ セキュリティ設定を使用して、製品によって永続的に保存されたデータが不正な方法 で開示されることを防止するための管理方法を定義できます。 次のトピックが含まれます。 l l l l l l l l l 格納データの暗号化の概要...................................................................................70 格納データの暗号化機能の起動........................................................................... 71 暗号化ステータス.................................................................................................. 73 キーストア ファイルのバックアップ.......................................................................... 74 データ イン プレース アップグレード........................................................................74 ホット スペアの操作............................................................................................... 76 暗号化が有効になっている VNX へのディスク ドライブの追加.................................76 暗号化が有効になっている VNX からのディスク ドライブの取り外し........................ 77 暗号化が有効になっている VNX でのシャーシと SP の交換.................................... 77 データ セキュリティの設定 69 データ セキュリティの設定 格納データの暗号化の概要 格納データの暗号化(D@RE)は、物理ディスク ドライブ レベルで CBE(controller-based encryption)によって実行されます。 一意の DEK(data encryption key)はドライブごとに生 成され、ドライブへの送信時にデータの暗号化に使用されます。 この機能の目的は、すべ てのカスタマー データと識別情報を強力な暗号化機能で確実に暗号化して、主にディスク ドライブの損失時にセキュリティを確保することです。 㽷 暗号化されていないデータの一部がシステム パーティションに存在する可能性があります (ホスト名、IP アドレス、ダンプなど)。 また、システム パーティションに診断材料を書き込む ことで暗号化されていないユーザー データが少量発生する可能性があります。 通常の I/O プロトコル(iSCSI、FC)を使用してアレイに書き込まれたデータはすべて暗号化されます。 制 御パスを使用してアレイに追加されたものは、このソリューションでは暗号化されません。た だし、機密情報(パスワードなど)は異なるメカニズムで暗号化されます(機密情報は暗号化 を行わないアレイ上にあるため)。 D@RE 機能つきで新しい VNX システムをオーダーした場合は、製造時にシステムで暗号化 が有効になっているはずです。 D@RE が有効になっており、アクティブ化されているか確認 してください。 Unisphere で D@RE 機能のステータスを表示するには、[システム]を選択し て[システム管理]の下にあるタスク リストから[システム プロパティ]を選択します。 暗号化 のステータスは、[ストレージ システムのプロパティ]ビューの[暗号化]タブに表示されま す。 [暗号化モード]が[該当なし]と表示される場合、DataAtRestEncryption Enabler の NDU(無停止アップグレード)を実行してアクティブ化する必要があります。 [暗号化モード] が[非暗号化]と表示されている場合は、Unisphere または VNX for Block CLI のいずれかを 使用して格納データの暗号化機能をアクティブ化するだけです。 抩䩴 アクティブにすると、暗号化の運用を取り消すことができません。 可能であればシステムに データや RAID グループなどを設定する前に暗号化を有効にしてください。 このアクションに よってデータ イン プレース アップグレードと、それによってシステム キャッシュやシステム パフォーマンスが影響を受けないよう回避できます。 D@RE を有効にしていない VNX システムの場合は、システムで暗号化を有効にするために DataAtRestEncryption Enabler の NDU(non-disruptive upgrade)が必要です。 このアップ グレードはリクエストに応じて実行できます。 以降のアクティブ化の手順は、Unisphere また は VNX for Block CLI で開始する必要があります。 VNX Key Management Server と呼ばれる新しいコンポーネントは、システムの暗号化キーを 生成、保存、管理する役割を担っています。 暗号化キーの保存のために生成されるキース トアは、システムのプライベート領域にある Managed LUN に格納されます。 RAID グループ やディスク ドライブが追加、または削除されたという通知に対応して、それぞれキーも生成、 削除されます。 キーストアの変更を招くようなシステム構成の変更では、キー バックアップの作成を推奨す るアラートが生成されます。 キーストアの変更を招くような操作が実行されると、アラートが 表示され、バックアップのためにシステムからキーストアを取得するまで、このアラートが引 き続き表示されます。 Unisphere UI または VNX for Block CLI コマンドを使用して、キースト アをバックアップします。 キーストアが破損した場合、システムは機能しなくなります。 システムはデグレードの状態 になり、オペレーティング システムのみが起動されます。 この状態で Unisphere からシステ ムにアクセスしようとすると、キーストアがアクセス不能な状態になっていると通知するエラ ーが表示されます。 この場合、問題の解決にはサービス契約が必要になります。 70 VNX1, VNX2 VNX のセキュリティ構成ガイド データ セキュリティの設定 キーの一般的な操作に関して、独立した監査機能が提供されています。この機能では、 SLIC の追加と同様に、キーの生成、削除、バックアップ、変更の復元など、あらゆる操作を 追跡します。 静止データ暗号化機能の詳細については、ホワイト ペーパー「EMC VNX2: Data-at-Rest Encryption」を参照してください。 格納データの暗号化機能の起動 格納データの暗号化機能(D@RE)をアクティブにするには、管理者のユーザー役割 storageadmin または sanadmin が必要です。 この暗号化機能をアクティブにする前に、シ ステムで FAST Cache が破棄されていることを確認してください。 FAST Cache を作成したシ ステムで D@RE 機能をアクティブにしようとすると、エラーが返されます。 暗号化機能をアク ティブにした後、FAST Cache を改めて作成することができます。 システムで D@RE 機能を有効にするには、DataAtRestEncryption Enabler の NDU(nondisruptive upgrade)が必要です。 この機能をアクティブにするには、それ以降のアクティブ 化の手順を Unisphere 経由で開始する必要があります。 別の方法としては、VNX for Block CLI コマンド securedata -feature -activate を使用してこの機能をアクティブにす ることもできます。 securedata コマンドの詳細については、「VNX シリーズ VNX for Block コマンド ライン インタフェース リファレンス」を参照してください。 抩䩴 アクティブにすると、暗号化の運用を取り消すことができません。 このアクションにより、デ ータ暗号化キーが作成され、すべてのユーザー データの暗号化が開始されます。 アクティ ブ化の手順を実行する前に、Unisphere または arrayconfig VNX for Block CLI コマンド を使用して、アレイの最新バックアップ(検証済み)や、最新の構成キャプチャを作成するこ とを推奨します。 Unisphere で D@RE 機能を有効にするには、[システム]を選択して[ウィザード]の下にあ るタスク リストから[格納データの暗号化のアクティベーション ウィザード]を選択します。 表 示されるアクティベーション ウィザードでは、暗号化を有効にして、生成されたキーストア フ ァイルを外部の場所にバックアップするように手順が示されます。 暗号化キーの保存のた めに生成されるキーストア ファイルは、システムのプライベート領域にある Managed LUN に格納されます。 抩䩴 生成されたキーストア ファイルを、システムの外部にある別の場所(キーストアを安全で秘 密裏に保存できる場所)にバックアップすることを強く推奨します。 システム上のキーストア が破損した場合、システムは機能しなくなります。 システムはデグレードの状態になり、オペ レーティング システムのみが起動されます。 この状態で Unisphere からシステムにアクセ スしようとすると、キーストアがアクセス不能な状態になっていると通知するエラーが表示さ れます。 この場合、問題の解決には、バックアップ キーストア ファイルとサービス契約が必 要になります。 格納データの暗号化機能の起動 71 データ セキュリティの設定 抩䩴 VNX システムで D@RE が有効になっていないか、D@RE をアクティブ化していない状態で EMC から受け取った場合は、D@RE のアクティベーション プロセスが正常に開始した時点 でストレージ プロセッサを再起動する必要があります。 各ストレージ プロセッサは手動で再 起動する必要があります(「Unisphere によるストレージ プロセッサの再起動(72 ペー ジ)」または「VNX OE for Block CLI によるストレージ プロセッサの再起動(72 ページ)」の いずれかを参照してください)。 このアクションにより、インストールとアクティベーション プロ セスが完了します。 Unisphere によるストレージ プロセッサの再起動 はじめに D@RE のアクティベーション プロセスが正常に開始し、暗号化が処理中、暗号化、またはス クラビングのいずれかであることを確認します。 「暗号化ステータス(73 ページ)」を参照し てください。 VNX システムで D@RE が有効になっていないか、アクティブ化していない状態で D@RE を EMC から受け取った場合は、D@RE のアクティベーション プロセスが正常に開始した時点 でストレージ プロセッサを再起動する必要があります。 ストレージ プロセッサの再起動はど のような順序で行ってもかまいません(例えば SP A の後に SP B、SP B の後に SP A)。 ただ し、ストレージ プロセッサは 1 つずつ再起動し、最初の SP が動作していることを確認してか ら 2 番目の SP を再起動することが重要です。 手順 1. サポートされるブラウザーでストレージ プロセッサの IP アドレスを使用し、EMC Unisphere を開きます。 2. アレイをクリックして[システム ストレージ ハードウェア]を選択します。 3. SP のタブを展開します。 4. 再起動する SP(SP A など)を右クリックします。 5. [再起動]を選択します。 6. 確認用ウィンドウで[はい]をクリックします。 7. 2 番目のストレージ プロセッサを再起動する前に、まず Unisphere にログインでき、その アレイを管理できることを確認する必要があります。 8. もう一方の SP についても、手順 4、5、6 を繰り返します。 VNX OE for Block CLI によるストレージ プロセッサの再起動 はじめに D@RE のアクティベーション プロセスが正常に開始し、暗号化が処理中、暗号化、またはス クラビングのいずれかであることを確認します。 「暗号化ステータス(73 ページ)」を参照し てください。 VNX システムで D@RE が有効になっていないか、アクティブ化していない状態で D@RE を EMC から受け取った場合は、D@RE のアクティベーション プロセスが正常に開始した時点 でストレージ プロセッサを再起動する必要があります。 ストレージ プロセッサの再起動はど のような順序で行ってもかまいません(例えば SP A の後に SP B、SP B の後に SP A)。 ただ し、ストレージ プロセッサは 1 つずつ再起動し、最初の SP が動作していることを確認してか ら 2 番目の SP を再起動することが重要です。 72 VNX1, VNX2 VNX のセキュリティ構成ガイド データ セキュリティの設定 手順 1. 次のコマンドを使用してストレージ プロセッサを再起動します。 naviseccli -h <IP_address_of SP> -user <name> -password <password> -scope <scope> rebootSP. このコマンドは、IP_address が表す SP を再起動します。 2. 2 番目のストレージ プロセッサを再起動する前に、まず Unisphere にログインでき、その アレイを管理できることを確認する必要があります。 3. もう一方の SP に対しても最初の手順を繰り返します。 暗号化ステータス Unisphere または VNX for Block CLI コマンドを使用して、次の D@RE 機能のステータスを 表示できます。 l 暗号化モード: 使用している暗号化のタイプ。たとえば、コントローラーベースの暗号化 など l 暗号化ステータス: 実際の暗号化ステータスに基づいています。 l n 未実行 n 処理中 n 暗号化 n スクラビング 暗号化の比率: 全体的なストレージ システムの暗号化の比率 Unisphere で D@RE 機能のステータスを表示するには、[システム]を選択して[システム管 理]の下にあるタスク リストから[システム プロパティ]を選択します。 暗号化のステータス は、[ストレージ システムのプロパティ]ビューの[暗号化]タブに表示されます。 㽷 別の方法としては、VNX for Block CLI コマンド securedata -feature -info を使用 して、この機能のステータスを表示します。 また、キーストア ステータスの表示、ユーザーに よる操作が必要であるかどうかの判断は、securedata -backupkeys -status CLI コマンドを使用して行います。 これらの CLI コマンドの詳細については、「VNX シリーズ VNX for Block コマンド ライン インタフェース リファレンス」を参照してください。 システムで暗号化を有効にした後で、暗号化の進捗(%)があるレベルで止まっており進行 しないと通知される場合があります。 次のようないくつかの条件によって暗号化が停止する 場合があります。 l 障害が発生したディスク l ディスクのゼロ化が進行中の場合 l ディスクの再構築が進行中の場合 l ディスクの検証が進行中の場合 l キャッシュが無効 この問題が発生した場合は、システム ログを確認して原因を特定してください。 コレクティブ アクションが必要な場合は条件を修正します。 有効な修正が行われるか進行中の操作が 完了すると、暗号化は完了します。 暗号化ステータス 73 データ セキュリティの設定 キーストア ファイルのバックアップ VNX Key Management Server と呼ばれる新しいコンポーネントは、システムの暗号化キーを 生成、保存、管理する役割を担っています。 キーの保存のために生成されるキーストアは、 システムのプライベート領域にある Managed LUN に格納されます。 RAID グループやディス ク ドライブが追加、または削除されたという通知に対応して、それぞれキーも生成、削除さ れます。 キーストアの変更を招くようなシステム構成の変更では、キー バックアップの作成を推奨す るアラートが生成されます。 キーストアの変更を招くような操作が実行されると、アラートが 表示され、バックアップのためにシステムからキーストアを取得するまで、このアラートが引 き続き表示されます。 抩䩴 生成されたキーストア ファイルを、システムの外部にある別の場所(キーストアを安全で秘 密裏に保存できる場所)にバックアップすることを強く推奨します。 システム上のキーストア が破損した場合、システムは機能しなくなります。 システムはデグレードの状態になり、オペ レーティング システムのみが起動されます。 この状態で Unisphere からシステムにアクセ スしようとすると、キーストアがアクセス不能な状態になっていると通知するエラーが表示さ れます。 この場合、問題の解決には、バックアップ キーストア ファイルとサービス契約が必 要になります。 キーストア ファイルをバックアップするには、管理者のユーザー役割 storageadmin または sanadmin が必要です。 キーストア ファイルをシステムの外部にある場所(キーストアを安全で秘密裏に保存できる 場所)にバックアップするには、[システム]を選択して[ウィザード]の下にあるタスク リスト から[キーストア ファイルのバックアップ]を選択します。 表示されるダイアログ ボックスで は、生成されたキーストア ファイルをバックアップするように手順が示されます。 㽷 別の方法としては、VNX for Block CLI コマンド securedata -backupkeys retrieve を使用して、キーストア ファイルをシステムの外部にある場所(キーストアを安 全で秘密裏に保存できる場所)にバックアップします。 この CLI コマンドの詳細については、 「VNX シリーズ VNX for Block コマンド ライン インタフェース リファレンス」を参照してください。 データ イン プレース アップグレード データ イン プレース アップグレードでシステムを暗号化するには、システムはディスク ドラ イブ セットの内容全体を差分的に読み取り、次にこれらの内容をドライブに書き戻す必要が あります。 キー生成の処理では、かなりの割合でシステム キャッシュが消費されます。 ま た、システム パフォーマンスも少なからず消費されます。 この処理の負担は、システムの I/O ロードに比例します。 アクティブ化では、Unisphere UI または VNX for Block securedata -feature activate CLI コマンドを使用して暗号化の処理を開始します。 暗号化を有効にする前に 書き込まれたデータは、暗号化されていない形式で書き込まれており、バックグラウンドの 暗号化処理で後から暗号化されます。 この処理は、最初のアップグレード処理でのみ実行 されます。 暗号化を有効にした後で作成された RG(RAID グループ)の場合、RG に書き込ま れるすべてのデータは暗号化されます。 暗号化が有効になっている場合、既存の RAID グループの全ディスク ドライブに対して、 DEK とともに KEK(キー暗号化キー)が生成されます。 システムは、暗号化されていない形 74 VNX1, VNX2 VNX のセキュリティ構成ガイド データ セキュリティの設定 式でデータを読み取り(一度に 1 ストライプ)、暗号化された形式でデータを書き込み直すこ とで、既存データの暗号化の処理を開始します。 データ イン プレース アップグレードは、次のような状況で遅延や一時停止になります。 l RG のゼロ化が進行中の場合 l RG の再構築が進行中の場合 l RG の検証が進行中の場合 l キャッシュが使用できない場合 ドライブ上ですでに暗号化された領域の暗号化を含めて、システムは引き続き通常どおりに 動作します。 抩䩴 EMC では、データをアレイに書き込む前や、すでに暗号化が有効になっているアレイに移行 する前に暗号化を有効にすることを強く推奨します。 データ イン プレース アップグレード 中、HDD または SDD でサニタイズ操作は実行されません。 ドライブのアドレス可能なスペ ースのみ上書きされます。 ドライブ内の秘匿された場所に隠されている場合がある残存平 文データは暗号化されません。 このデータは標準インターフェイスから容易に回復できませ んが、その他の方法でアクセスできる可能性があります。 データ イン プレース アップグレ ードによって D@RE を有効にする必要があり、暗号化されていないデータを禁止している場 合は手動で緩和する必要があります。 サニタイズの詳細については、http://csrc.nist.gov/ にある NIST 文書「「Guidelines for Media Sanitization」」の最新版を参照してください。 暗号化されていないデータの一部がシステム パーティションに存在する可能性があります (ホスト名、IP アドレス、ダンプなど)。 また、システム パーティションに診断材料を書き込む ことで暗号化されていないユーザー データが少量発生する可能性があります。 通常の I/O プロトコル(iSCSI、FC)を使用してアレイに書き込まれたデータはすべて暗号化されます。 制 御パスを使用してアレイに追加されたものは、このソリューションでは暗号化されません。 ただし、機密情報(パスワードなど)は異なるメカニズムで暗号化されます(機密情報は暗号 化を行わないアレイ上にあるため)。 セキュリティ ポリシーまたはコンプライアンス ポリシーで、サニタイズしたドライブを使用する よう定められている場合、データ イン プレース アップグレード完了後に、新しくまたは以前 にサニタイズしたドライブ セットに暗号化されたデータを移行することをお勧めします。 デー タを移動する方法の 1 つとして、Unisphere または VNX for Block CLI のいずれかから使用 できる MCx のコピー機能を使用することもできます。 この機能は暗号化されたデータすべ てを 1 つのディスク ドライブから同容量か容量の大きな別のドライブに移動します。 MCx の コピー操作が完了したら、元のドライブでサニタイズ手順を実行します。そうすると、必要に 応じて再利用できるよう、元のドライブをシステムに返却できます。 ヴォールト ドライブに関する特別な考慮事項 データ移行後に、VNX のヴォールト ドライブ(最初の 4 台のドライブ)に LUN またはファイル システム データが存在する場合、これらのドライブを交換するには特別な手順を実行する 必要があります。 LUN を別のドライブ セットに移行し、次に、互換性のある新しい未使用の ドライブを位置 0_0_0 に挿入してシステムがそのドライブの内容を完全に再構築できるよう にします。 このプロセスは 1 時間未満で完了します。 この手順を残りの 3 台のドライブ(位 置 0_0_1、0_0_2、0_0_3)に対してもそれぞれ繰り返す必要があります。次のドライブに進 む前に再構築が終わっていることを確認してください。 ドライブの交換が終わったら LUN を ヴォールト ドライブに戻し、元のドライブでサニタイズ手順を実行します。 FAST Cache に関する特別な考慮事項 FAST Cache は暗号化をアクティブ化する前に破棄する必要があります。 セキュリティ ポリシ ーで特別なサニタイズ手順が定められている場合、FAST Cache を破棄して再び有効にして から FAST Cache ドライブを適切にサニタイズする必要があります。 FAST Cache は暗号化 のアクティベーション プロセスが完了するとすぐに再び有効にすることができます。 データ イン プレース アップグレード 75 データ セキュリティの設定 SSD ホット スペアを FAST Cache の目的でのみ使用している場合、これらの SSD ホット スペ アをすぐにサニタイズすることができます。 㽷 SSD をストレージ プールまたは RG ホット スペアとしても使用している場合、データ イン プレ ース アップグレード中に SSD を再構築すると平文データが書き込まれる可能性がありま す。 暗号化されていないデータを禁止している場合、手動で緩和する必要があります。 そ のため、データ イン プレース アップグレードが完了するまでこれらのホット スペアのサニタ イズは行わないでください。 ホット スペアの操作 RG またはストレージプールに含まれているシステム内の全ディスク ドライブを対象として、 システムが DEK ですでに構成されている場合、RG またはストレージプールに現在含まれて いないドライブは、未バインドのドライブと見なされます。 未バインドのドライブまたは障害が 発生した未バインドのドライブを削除しても、キーストアには影響が及びません。したがっ て、キーストア ファイルをバックアップする必要はありません。 同様に、未バインドのドライ ブを交換してもキーストアには影響がないため、キーストア ファイルのバックアップは不要で す。 㽷 バインドされていないディスク ドライブはデフォルトのデータで上書きされ、それまでの既存 のデータは削除されます。 RG またはストレージプールに含まれているシステム内の全ドライブを対象として、システム が DEK ですでに構成されている場合、これらのドライブは未バインドのドライブと見なされま す。 バインドされたドライブが削除された場合、またはドライブに障害が発生した場合、5 分 経過した後で、削除されたドライブまたは障害が発生したドライブが永続ホット スペアによっ て交換されます。また、ホット スペアに対して DEK が生成され、再構築が開始されます。 こ の直後、削除されたドライブの DEK はキーストアから削除されます。 キーストアに対して DEK 変更が作成されたため、この時点でキーストアの変更ステータスが Key Manager によ って設定され、キーストアのバックアップを指示するアラートがトリガーされます。 削除されたディスク ドライブは、5 分経過する前に、システムの任意の場所に再挿入されま す。再構築の必要はありません。変更はキーストアに適用されません。 キーはスロットでは なくディスク ドライブに関連づけられているため、DEK は同じ値のままになります。 また、キ ーストアの変更ステータスのアラートは生成されません。 㽷 取り外したドライブのサニタイズや廃棄が必要な場合は、別途これを行う必要があります。 暗号化が有効になっている VNX へのディスク ドライブの追加 新しいディスクをシステムに 1 台以上挿入しても、各ディスクの新しい DEK の生成はトリガ ーされません。 この操作は新しいディスクが RAID グループかストレージ プールに追加され るまで、そのディスクに対しては行われません。 キーストアに対して DEK 変更が作成された ため、この時点でキーストアの変更ステータスが Key Manager によって設定され、キースト アのバックアップを指示するアラートがトリガーされます。 新しいディスク ドライブを VNX に追加する場合、ドライブはバインドされていないと見なされ ます。 バインドされていないディスク ドライブは、デフォルトのデータで上書きされ、それまで の既存のデータは削除されます。 ドライブのアドレス可能なスペースのみ上書きされます。 76 VNX1, VNX2 VNX のセキュリティ構成ガイド データ セキュリティの設定 ドライブ内の秘匿された場所に隠されている場合がある残存平文データは上書きされませ ん。 抩䩴 それまで使用していたドライブから残存データにアクセスする可能性があり、それがセキュ リティ ポリシーに反している場合、暗号化が有効になっている VNX にそのドライブを挿入す る前に別途サニタイズする必要があります。 暗号化が有効になっている VNX に SAS UltraFlex I/O モジュールを追加するか交換する場 合、交換プロセスが完了した時点で影響を受けるストレージ プロセッサを別途手動で再起 動する必要があります。 Unisphere または VNX OE for Block CLI コマンドを使用します。 naviseccli -h <IP_address_of SP> -user <name> -password <password> -scope <scope> rebootSP. このコマンドは、IP_address が表す SP を再起動します。 暗号化が有効になっている VNX からのディスク ドライブの取り外し RG またはストレージプールに含まれているシステム内の全ドライブを対象として、システム が DEK ですでに構成されている場合、これらのドライブは未バインドのドライブと見なされま す。 バインド済みドライブを取り外した後 5 分たっても交換されなければ、ドライブの DEK はキーストアから削除されません。 RG が削除されるか、新しいドライブがスワップ インされ るまでキーは有効なままとなります。取り外されたディスク ドライブを 5 分以内にシステムの 任意の場所に再び挿入した場合は、交換用ドライブの場合と同様に再構築が不要となりま す。また、キーストアも変更されません。 キーはスロットではなくディスク ドライブに関連づけ られているため、DEK は同じ値のままになります。 また、キーストアの変更ステータスのアラ ートは生成されません。 ホット スペアの交換の詳細については、「ホット スペアの操作(76 ページ)」を参照してください。 㽷 取り外したドライブのサニタイズや廃棄が必要な場合は、別途これを行う必要があります。 暗号化が有効になっている VNX でのシャーシと SP の交換 生成されたキーストアはストレージ システム内のハードウェアに関連付けられます。ハード ウェアの除去が適切でないと、データにアクセスできなくなります。シャーシおよび両方の SP を交換する必要がある場合は、特別な手順を踏まえる必要があります。両方の SP を同 時に交換しないでください。一方の SP を交換し、ストレージ システムがオンラインに戻るま で待機します。その後、もう一方の SP を交換します。あるいは、ハードウェアが交換済みで キーストアのバックアップが存在する場合は、EMC サポートの支援により、キーストアをバッ クアップからリストアできます。 暗号化が有効になっている VNX からのディスク ドライブの取り外し 77 データ セキュリティの設定 78 VNX1, VNX2 VNX のセキュリティ構成ガイド 第6章 セキュリティ保守 本章では、VNX に実装されている各種セキュリティ保守機能について簡単に説明します。 次のトピックが含まれます。 l l l l l l l Control Station の ESRS.........................................................................................80 ストレージ プロセッサの ESRS デバイス クライアント............................................... 80 ESRS IP Client........................................................................................................81 安全な保守設定(Block)........................................................................................81 セキュア リモート サポートの考慮事項................................................................... 82 セキュリティ パッチ管理......................................................................................... 82 マルウェア検出......................................................................................................83 セキュリティ保守 79 セキュリティ保守 Control Station の ESRS Control Station の ESRS ソフトウェアは、VNX File/Unified システムの動作中のエラー イベ ントを監視し、Connect Home 通知を自動的にサービス プロバイダに送信します。 このソフ トウェアは、サービス プロバイダが安全に、特定の VNX File/Unified システムに(関連する Control Station を介して)接続するために使用するパスを提供します。 このソリューションは、次の機能を含め、セキュリティで保護されたアーキテクチャを提供し ます。 l EMC は、X.509 デジタル証明書を発行し、EMC に Control Station の ESRS を認証しま す。 l EMC のプロフェッショナルは、2 つの一意の要素の使用を認められています。 l EMC のサービス プロフェッショナルは全員、一意のユーザー名を持っていて、どのよう なアクションを行う場合でも、このユーザー名を使ってログインします。 l 通信はすべて、Control Station から発信されます。 Control Station の ESRS は、EMC やインターネットからの未承諾接続を受け付けません。 l Control Station で EMC と ESRS の間で行われる通信すべてにおいて、最新のセキュリ ティ プラクティス、および RSA Lockbox テクノロジーに基づく証明書ライブラリや AES (Advanced Encryption Standard)256 ビット暗号化などの暗号化テクノロジーが実践さ れます。 l Control Station の ESRS ソリューションを実装すれば、Policy Manager を使用して、さら にリモート アクセスを制御することができます。 Policy Manager を使用すると、EMC と VNX システムの間で行われる通信の方法を完全に制御できます。 SSL は、Control Station の ESRS と Policy Manager の間で使用できます。 VNX システムの Control Station の ESRS 機能の詳細については、EMC オンライン サポート 用 Web サイト(http://Support.EMC.com)の「EMC Secure Remote Support for VNX」テクニカ ル モジュールを参照してください。 ストレージ プロセッサの ESRS デバイス クライアント ストレージ プロセッサ機能の ESRS デバイス クライアントは、VNX Operating Environment (OE)for Block バージョン 5.32(バージョン 05.32.000.5.209 よりも後)またはバージョン 05.33(バージョン 05.33.000.5.051 よりも後)のみに搭載されています。このソフトウェア は、VNX for Block システムの動作を監視してエラー イベントを検出し、ConnectEMC 通知を サービス プロバイダーに自動的に送信します。 また、このソフトウェアは、サービス プロバ イダーが安全に、特定の VNX for Block システムに(関連するストレージ プロセッサを通し て)接続するために使用するパスも提供します。 このソリューションは、次の機能を含め、セキュリティで保護されたアーキテクチャを提供し ます。 80 l EMC は、X.509 デジタル証明書を発行し、EMC にストレージ プロセッサの ESRS デバイ ス クライアントを認証します。 l EMC のプロフェッショナルは、2 つの一意の要素の使用を認められています。 l EMC のサービス プロフェッショナルは全員、一意のユーザー名を持っていて、どのよう なアクションを行う場合でも、このユーザー名を使ってログインします。 l 通信はすべて、ストレージ プロセッサから発信されます。 ストレージ プロセッサの ESRS デバイス クライアントは、EMC やインターネットからの未承諾接続を受けつけません。 l ストレージ プロセッサで EMC と ESRS デバイス クライアントの間で行われる通信すべて において、最新のセキュリティ プラクティス、および RSA Lockbox テクノロジーに基づく VNX1, VNX2 VNX のセキュリティ構成ガイド セキュリティ保守 証明書ライブラリや AES(Advanced Encryption Standard)256 ビット暗号化などの暗号 化テクノロジーが実践されます。 l ストレージ プロセッサ ソリューションの ESRS デバイス クライアント ソリューションを実装 すれば、Policy Manager を使用して、さらにリモート アクセスを制御することができま す。 Policy Manager を使用すると、EMC と VNX システムの間で行われる通信の方法を 完全に制御できます。 SSL は、ストレージ プロセッサの ESRS デバイス クライアントと Policy Manager の間で使用できます。 VNX for Block システムに搭載されたストレージ プロセッサの ESRS デバイス クライアントの 詳細については、EMC オンライン サポート用 Web サイト(http://Support.EMC.com)の 「EMC Secure Remote Support for VNX」テクニカル モジュールを参照してください。 ESRS IP Client ESRS IP Client for VNX ソフトウェアは、VNX for Block システムの動作を監視して、エラー イ ベントをサービス プロバイダに自動的に通知します。 EMC では、政府、業界、または企業 の規定に準拠するためにカスタマイズ可能なセキュリティ オプションを必要としているユー ザー向けに EMC Secure Remote Gateway ソリューションを強く推奨しています。 暗号化、ア クセス制御、認証、監査、許可といった先進的なセキュリティ機能により、今日の厳しいコン プライアンス規制に対応します。 ESRS IP Client for VNX ソフトウェアを使用して、指定された VNX for File Control Station が サービス プロバイダに ConnectHome 通知を送信することができます。 このソフトウェアは、 サービス プロバイダが安全に、特定の VNX for File システムに(関連する Control Station を通して)接続するために使用するパスを提供します。 このソリューションは、次の機能を含め、セキュリティで保護されたアーキテクチャを提供し ます。 l EMC は、ESRS IP Gateway または ESRS IP Client for VNX を EMC に対して認証するため の X.509 デジタル証明書を発行します。 l EMC のプロフェッショナルは、2 つの一意の要素の使用を認められています。 l EMC のサービス プロフェッショナルは全員、一意のユーザー名を持っていて、どのよう なアクションを行う場合でも、このユーザー名を使ってログインします。 l 通信はすべて、リモート サイトから発信されます。 ESRS IP Gateway または ESRS IP Client for VNX は、EMC やインターネットからの未承諾接続を受け付けません。 l ハートビートでは HTTPS および SOAP を使用して、ファイアウォールへの対応が容易な ソリューションを実現します。 l EMC と ESRS IP Gateway または ESRS IP Client for VNX の間で行われる通信すべてに おいて、最新のセキュリティ プラクティス、および RSA Lockbox テクノロジーに基づく証 明書ライブラリや AES(Advanced Encryption Standard)256 ビット暗号化などの暗号化 テクノロジーが実践されます。 l ESRS IP Gateway または ESRS IP Client for VNX ソリューションを実装すれば、Policy Manager を使用して、さらにリモート アクセスを制御することができます。 Policy Manager を使用すると、EMC と VNX システムの間で行われる通信の方法を完全に制 御できます。 ESRS IP Client と Policy Manager 間で SSL を使用できます。 VNX システムの ESRS サポートの詳細については、EMC オンライン サポート用 Web サイト (http://Support.EMC.com)の「EMC Secure Remote Support for VNX」テクニカル モジュール を参照してください。 安全な保守設定(Block) EMC カスタマ サービスは、RemotelyAnywhere を使用して、TCP/IP 管理ポート、TCP/IP サー ビス ポート、またはシリアル ポート経由で、VNX SP への直接アクセスを取得します。 ESRS IP Client 81 セキュリティ保守 サービス ポート https://<SP_IP_address>/setup にアクセスし、[サービス パスワ ードの変更]をクリックすることで、管理ポートのユーザー名とパスワードを変更することが できます。 パスワードを変更できるのは管理者とセキュリティ管理者だけです。 㽷 このパスワードを変更した場合、特定の保守およびデバッグ操作のために新しいパスワー ドを EMC カスタマー サービスに連絡する必要があります。 RemotelyAnywhere を使用すると、パスワードを変更できるほかに、IP フィルタリングを使用 してセキュリティを強化することができます。 この方法により、サービス アクセスを信頼済み の IP アドレスだけに制限することができます。 RemotelyAnywhere の IP フィルタリングを管 理するには、https://<SP_IP_address>/setup にアクセスし、[RemotelyAnywhere のアクセスの制限の設定]をクリックします。 RemotelyAnywhere を使用して VNX for Block にログインすることで、イベント ログに固有のメッセージが生成されます。 VNX システムの保守が必要なときにサービス パスワードを使用できない場合、永続的に固 定されたユーザー名とパスワードがあり、これらを使用することでサービス ポートおよびシリ アル ポート経由でアクセスできます。 データセンター内でこれらのポートには物理的に何も 接続しないでください。 サービス担当者からの特別なリクエストがない限り、これらのポート に接続しないことを推奨します。 ストレージ システムが設置されている部屋またはラックへ の物理的なアクセスを管理することによってこれらのポートを保護する必要があります。 セキュア リモート サポートの考慮事項 関連情報については、 EMC オンライン サポート用 Web サイト(http://Support.EMC.com) に掲載されている「Remote Hardware Support:A Detailed Review」テクニカル ノートを参照 してください。この資料には、セキュア サービスで使用可能なコンポーネントとアプローチの 概要が記載されています。 セキュア リモート サービスを使用する場合は、EMC と協力して EMC セキュア リモート サポ ート ゲートウェイと Policy Manager をインストールおよび構成する方法が推奨されます。 「Remote Hardware Support: A Detailed Review」テクニカル ノートに記載されているように、 これにより、お客様サイトから認定済みの EMC およびサービス パートナー担当者への暗号 化されたゲートウェイ チャネルを使用する開始済みチャネルが提供されます。 お客様は、 ゲートウェイ ソフトウェアおよび付属の Policy Manager 用のサーバーを用意し、セキュリテ ィに関する責任を負います。 また、Policy Manager を使用してサーバーへのアクセスに関 するポリシーを設定し、Policy Manager 自体および監査ログに対するお客様のアクセスを 管理する必要があります。 レガシ システムのためにモデムベースのアクセスの使用を選択するお客様もあります。 こ れらのお客様は、EMC 担当者およびサービス パートナーと協力して、ESRS IP Client 管理ス テーションで EMCRemote を構成し、適切なセキュリティ オプションを選択する必要がありま す。 VNX 環境のリモート サポートのために Cisco の WebEx を活用できる場合もあります。 WebEx を使用するときには、お客様が WebEx 接続を開始するか、EMC またはサービス パ ートナーが開始した接続を受け入れる必要があります。 お客様が WebEx インスタンスを開 始した場合、サポート セッションのログはお客様のサイトに残ります。 セキュリティ パッチ管理 VNX システムは、サード パーティのユーティリティまたはパッチのインストールをサポートし ません。 EMC は、必要に応じて、セキュリティ関連の問題(または他の種類の問題)解決す るための公式にリリースされた VNX OE(オペレーティング環境)のパッチを提供します。 82 VNX1, VNX2 VNX のセキュリティ構成ガイド セキュリティ保守 マルウェア検出 マルウェア検出は、VNX エンジニアリング サイクル中に実行されます。 EMC は、製品出荷 前に VNX システムがマルウェアに感染していないことを確認します。 VNX システムは、アプ ライアンスであり、追加のソフトウェアをインストールすることはできないので、展開された VNX システムではマルウェア検出は不要であり、提供されません。 マルウェア検出 83 セキュリティ保守 84 VNX1, VNX2 VNX のセキュリティ構成ガイド 第7章 高度な管理機能 この章では、管理機能を拡張し、セキュリティを強化してユーザーの操作効率を向上させる ために使用できる VNX システムで強化されたセキュリティ機能について説明します。 主要なトピックは以下のとおりです。 l l l l l リモート管理.......................................................................................................... 86 IPv6(インターネット プロトコル バージョン 6)による管理ポートのアドレス指定.........86 VLAN タグ機能のサポート...................................................................................... 86 SNMP 管理 SNMP かんり.......................................................................................86 FIPS 140-2 の管理サポート....................................................................................87 高度な管理機能 85 高度な管理機能 リモート管理 Unisphere は、「いつでもどこからでも安全に管理できる」機能をサポートするように設計さ れています。これにより、管理者は、ブラウザがインストールされた任意のステーションから ストレージ システムを管理することができ、ソフトウェアを事前にインストールしたり、特別な ハードウェアを用意したりする必要ありません。 この機能には、企業が会社のリソースにリ モートからアクセスできるようにするためにすでに使用しているメカニズム(SecureID、VPN など)を補完する Unisphere のセキュリティ強化を実装する必要があります。 リモート管理によって、最小限のスタッフで、複雑になったデータセンターを管理し、24 時間 365 日で稼働させることができます。 離れた場所からトラブルシューティングを行うこともで きるようになります。 IPv6(インターネット プロトコル バージョン 6)による管理ポートのア ドレス指定 IPv6 は、IETF によって設計された「次世代」のプロトコルであり、現行バージョンの IPv4(イン ターネット プロトコル バージョン 4)に代わるものです IPv6 には、セキュリティの観点から魅 力的な非常に多くの機能が含まれています。 信頼性が高く、自動構成を使用して簡単にセ ットアップできます。 巨大な使用密度が低いアドレス空間であるため、悪意を持ったスキャ ンに対する抵抗力が強く、自動化されたスキャン、自己増殖型ワーム、ハイブリッドな脅威も 寄せ付けません。 VNX システムは、Unisphere、VNX for Block と VNX for File の CLI の両 方、および RemotelyAnywhere の場合に IPv4 または IPv6 を使用してアクセスできます。 こ のデュアル スタック IPv4/IPv6 モードにより、旧型のシステムとの相互運用をサポートしま す。 VLAN タグ機能のサポート VNX ストレージ システムの iSCSI データ ポートと管理ポートでは VLAN がサポートされま す。 VLAN を使用すると、パフォーマンスの向上、管理しやすさ、コスト削減に加えて、セキ ュリティの強化も実現されます。これは、VLAN タグを使用して構成されたデバイスが同じ VLAN に属する場合のみ相互に検出および通信できるようになるためです。 これにより、 VNX 上に複数の仮想ポートをセットアップし、セキュリティ ポリシーを基にしてホストを異なる 複数の VLAN に分離することができます。 機密データを 1 つの VLAN に制限することもでき ます。 VLAN を使用すると、トラフィックをスニッフィングするには複数のネットワークのスニッ フィングが必要なためにこれが困難になり、セキュリティが強化されます。 VLAN タグ機能は、ポート単位で任意に有効にできます。 有効にした場合、1 GB/秒ポート および 10 GB/秒ポートに対して最大 8 つの仮想ポート、および管理ポートに対して 1 つの 仮想ポートを構成できます。 管理ポート上の VLAN タグ機能は、IPv4 プロトコルと IPv6 プロ トコルをサポートします。 VLAN サポートの詳細については、EMC オンライン サポート用 Web サイト(http://Support.EMC.com)の「VLAN Tagging and Routing on CLARiiON」ホワイ ト ペーパーを参照してください。 SNMP 管理 SNMP かんり SNMP は Control Station と Data Mover 間の通信に使用されるため、無効にすると、一部 の機能に支障が発生することがあります。 たとえば、server_netstat コマンドが動作しなくな ります。 SNMP コミュニティ文字列は、SNMP でのセキュリティの基礎となります。 デフォルト のコミュニティ名は public であり、この名前はよく知られています。 VNX for File への不要な 86 VNX1, VNX2 VNX のセキュリティ構成ガイド 高度な管理機能 アクセスを防止するには、この名前を変更する必要があります。 この機能を構成する方法 については、「VNX for File イベントと通知の構成」を参照してください。 SNMP 管理ソフトウェアを使用して、VNX for Block システムの状態を監視することができま す。 SNMP コミュニティは、デバイスおよび SNMP を実行している管理ステーションが所属 するグループです。 SNMP コミュニティでは、情報の送信先が定義されます。 グループはコ ミュニティ名で識別されます。 SNMP コミュニティは、このコミュニティに属さない管理ステー ションからの要求に応答しません。 SNMP サポートの詳細については、EMC オンライン サ ポート用 Web サイト(http://Support.EMC.com)の「Managing EMC CLARiiON with SNMP」 ホワイト ペーパーを参照してください。 FIPS 140-2 の管理サポート FIPS 140-2(Federal Information Processing Standard 140-2)には、IT 製品が、SBU (Sensitive but Unclassified; 取扱注意ではあるが機密扱いでない)利用を満たさなければ いけないという、米国政府の要件が規定されています。 この規格では、IT システム内の機 密扱いされていない情報を保護するセキュリティ システムで使用される暗号形式モジュー ルが満たす必要があるセキュリティ要件が定義されています。 FIPS 140-2 の詳細について は、FIPS 1402-2 の刊行物を参照してください。 VNX for Block OE 31.5 および VNX for File OE 7.1 以降の VNX システムは、クライアント管 理トラフィックを処理する SP(ストレージ プロセッサ)および CS(Control Station)上の SSL モ ジュールで、FIPS 140-2 モードをサポートしています。 システムで送受信される管理通信デ ータは、SSL を使用して暗号化されます。 このプロセスの一部として、クライアントとストレー ジ管理サーバー間で、交換に使用する合意済み暗号化スイートについてのネゴシエーショ ンが行われます。 FIPS 140-2 モードの使用により、ネゴシエーションで選択できる許可され た暗号化スイート セットは、十分に強力なもののみに制限されます。 FIPS 140-2 モードが有 効な場合、許容可能な強度の暗号化スイートをサポートしていない既存のクライアントが、 システムの管理ポートと通信できなくなることがあります。 FIPS 非準拠の証明書が File また は Block の証明書ストアに存在する場合、VNX システムで FIPS モードを有効にすることは できません。 FIPS 140-2 モードを有効にする前にすべての FIPS 非準拠の証明書を VNX シ ステムから削除する必要があります。 VNX Unified システムでの FIPS 140-2 モードの管理 管理者またはセキュリティ管理者のみが、FIPS 140-2 モードを管理する権限を持ちます。 VNX Unified システム上で FIPS 140-2 モードを設定するには、次の Block または File のど ちらかの CLI コマンドを使用します。 どちらのコマンドを使用しても VNX 全体に影響します。 Block CLI: naviseccli -h <SP_IP_address> security -fipsmode -set 0|1 [-o] 0 は非 FIPS 140-2 モードに設定します mode 1 は FIPS 140-2 モードに設定します File CLI: nas_fipsmode -enable は FIPS 140-2 モードに設定します nas_fipsmode -disable は非 FIPS 140-2 モードに設定します VNX 全体の現在の FIPS 140-2 モードを確認するには、次の Block または File のどちらか の CLI コマンドを使用します。 Block CLI: naviseccli -h <SP_IP_address> security -fipsmode -get File CLI: nas_fipsmode -info FIPS 140-2 の管理サポート 87 高度な管理機能 VNX Unified システムで FIPS 140-2 モードを設定すると、ストレージ管理サーバーが再起動 します。 SP と Control Station の両方に対する管理コマンドが短時間の間ブロックされま す。 ただし、この処理は、ストレージ システム上で実行される入出力動作には影響しませ ん。 㽷 2 つの Control Station があるシステムでは、FIPS 140-2 モードを設定すると、CS0 が CS1 にフェイルオーバーされます。 VNX for Block システムでの FIPS 140-2 モードの管理 管理者またはセキュリティ管理者のみが、FIPS 140-2 モードを管理する権限を持ちます。 VNX for Block システム上で FIPS 140-2 モードを設定するには、次の Block CLI コマンドを使 用します。 naviseccli -h <SP_IP_address> security -fipsmode -set 0|1 [-o] 0 は非 FIPS 140-2 モードに設定します mode 1 は FIPS 140-2 モードに設定します VNX for Block システムの現在の FIPS 140-2 モードを確認するには、次の Block CLI コマン ドを使用します。 naviseccli -h <SP_IP_address> security -fipsmode -get VNX for Block システムで FIPS 140-2 モードを設定すると、ストレージ管理サーバーが再起 動します。 SP に対する管理コマンドが短時間の間ブロックされます。 ただし、この処理は、 ストレージ システム上で実行される入出力動作には影響しません。 VNX for File またはゲートウェイ システムでの FIPS 140-2 モードの管理 管理者またはセキュリティ管理者のみが、FIPS 140-2 モードを管理する権限を持ちます。 VNX for File またはゲートウェイ システム上で FIPS 140-2 モードを設定するには、次の File CLI コマンドを使用します。 nas_fipsmode -enable は FIPS 140-2 モードに設定します nas_fipsmode -disable は非 FIPS 140-2 モードに設定します VNX for File またはゲートウェイ システムの現在の FIPS 140-2 モードを確認するには、次の File CLI コマンドを使用します。 nas_fipsmode -info ゲートウェイ システムで FIPS 140-2 モードを設定すると、Control Station 上の NAS サービ スが再起動します。 Control Station に対する管理コマンドが短時間の間ブロックされます。 ただし、この処理は、VNX for File またはゲートウェイ システム上で実行される入出力動作 には影響しません。 㽷 2 つの Control Station があるシステムでは、FIPS 140-2 モードを設定すると、CS0 が CS1 にフェイルオーバーされます。 88 VNX1, VNX2 VNX のセキュリティ構成ガイド 付録 A 安全な展開と使用の設定 この付録では、セキュリティ要件の度合いが異なるいくつかのネットワーク トポロジーの例 について説明します。 次のトピックが含まれます。 l 安全な環境での Unisphere の実装........................................................................90 安全な展開と使用の設定 89 安全な展開と使用の設定 安全な環境での Unisphere の実装 多くの EMC のお客様でセキュリティの優先度が高くなっています。 当然ながら、多くのお客 様は、ネットワーク インフラストラクチャのセキュリティを積極的に強化しているか、少なくと もそのことを検討しています。 また、セキュリティの要件やネットワーク トポロジーもお客様 によってさまざまです。 ただし、Unisphere ネットワーク管理要件を考慮せずにネットワーク のセキュリティを構築すると、ストレージ システムの管理で問題が発生することがあります。 たとえば、重要なストレージ システム イベントの損失、セキュリティ データベースなどのグロ ーバルな Unisphere 構成データの不整合などが発生します。 このドキュメントで説明してい る Unisphere アーキテクチャを理解すれば、お客様は、ストレージ システムを効果的に管 理しながら同時に安全なネットワーク環境を構築することができます。 次のシナリオでは、セキュリティ要件のレベルが異なるネットワーク トポロジーでの Unisphere アーキテクチャの柔軟性について説明します。 各シナリオでは、企業ネットワー クとインターネットの間で DMZ(非武装地帯)を使用するなど、一般的に使用されている IT セキュリティ ポリシーを採用しています。 㽷 これらは、各種ネットワーク トポロジーの代表例であり、さまざまな環境で Unisphere を実 装する方法の例です。 お客様のサイトでの実際の構成は、お客様に固有のセキュリティ要 件によって異なります。 最小限のセキュリティ対策を施した環境については、最小限のセキュリティによるストレージ 管理ネットワーク トポロジー(90 ページ)を参照してください。 企業ネットワークは DMZ に よって外部から保護されていますが、内部的にはストレージのセキュリティに関する制限は ほとんどありません。 すべての VNX TCP/IP トラフィック(VNX for Block - Unisphere コンポー ネントによって使用されるポート(34 ページ)に示されているように)は、内部 LAN とストレー ジ LAN の間で両方の方向に転送できます。 この構成は、最も完全な機能を備えた管理し やすい VNX 環境を提供し、ユーザーは、DMZ 内の任意の場所からストレージ システムを 管理することができます。 SAN 接続サーバー上で実行される Unisphere ホスト エージェント は、ホストの登録と LUN/ボリューム マッピングに関する完全な情報を提供します。 さらに、 企業ネットワーク上で集中型の監視ステーション、SNMP サーバー、Unisphere クライアン ト/サーバー管理ステーション、ESRS IP Client をインストールできる場所にも制限はありま せん。 図 2 最小限のセキュリティによるストレージ管理ネットワーク トポロジー より厳しいセキュリティ要件を適用するお客様もあります。たとえば、ストレージ LAN 上の管 理ステーションのみにストレージ システムの管理を許可するお客様や、管理サービスやエ ージェントを本番サーバーにインストールしないお客様があります。 最小限のセキュリティ 90 VNX1, VNX2 VNX のセキュリティ構成ガイド 安全な展開と使用の設定 によるストレージ管理ネットワーク トポロジー(91 ページ)の手順に従って、小さい変更を 構成にいくつか加えることで、平均的なセキュリティによるストレージ管理ネットワーク トポロ ジー(90 ページ)に記載があるとおり、Unisphere の管理機能を失うことなく、これらの要件 を満たすことができます。 新しい構成では、VNX ストレージ システムが開始するアウトバウ ンド TCP/IP トラフィックのみを許可するようにストレージ LAN と内部 LAN の間のファイアウォ ールが変更されます。 図 3 平均的なセキュリティによるストレージ管理ネットワーク トポロジー この変更の結果として、Unisphere、CLI、集中型の監視ステーション、Unisphere クライアン ト/サーバー管理ステーション、ESRS IP Client によって実行される管理を含むすべての Unisphere の管理と監視をストレージ LAN 上で実行する必要があります。 SNMP トラップと メール通知は、引き続き会社の SMTP/SNMP サーバーに送信することも ESRS IP Client を 使用して EMC カスタマー サービスに送信することもできます。 最終的に、Unisphere ホスト エージェントは Unisphere Server Registration Utility に置き換えられます。 すべてのホスト 管理機能は、イン バンドであり、本番サーバー上で実行されている追加のサービスはあり ません。 ただし、LUN/ボリューム マッピング情報は、Unisphere または Secure CLI を介して 使用することはできません。この情報は Server Registration Utility を介してのみ使用できま す。 これらの変更により、すべての管理アクティビティをストレージ LAN 上で開始する必要があ るので、ストレージ システムの全体的なセキュリティが大幅に強化されます。 しかし、この構 成でも内部ファイアウォールでの違反に対しては依然として脆弱です。 ファイアウォールが 内部 LAN から侵害された場合、企業ネットワーク内の任意のコンピュータでストレージ シス テムを管理できるようになります。 VNX ベースの IP フィルタリングを使用すると、この潜在 的な脅威を排除できます。 最後の構成(高度なセキュリティによるストレージ管理ネットワーク トポロジー(92 ページ) を参照)は、企業のストレージ システムに極めて高いレベルのセキュリティを提供します。 潜在的な脅威は、物理的なリソースの侵害のみに軽減されます。 さらに、VNX ドメインの IP フィルタリングを有効にすることで、ストレージ システムの管理を 1 台の Windows サーバ ー、つまり Unisphere クライアント/サーバー管理ステーションに制限できます。 IP フィルタリ ングを使用して、各ストレージ システムまたはドメインで信頼済みクライアント IP アドレスの リストを用意することができます。 ストレージ システムは、これらの信頼済みクライアントか らの管理接続のみを受け入れます。 IP フィルタリングは、イベント モニタのポーリング、メー ル通知、SNMP などの他のトラフィックに影響を与えません。 IP フィルタリングの構成は、 http://<SP IP address>/setup ページまたは naviseccli security -trustedclient スイッチを使 用して確認できます。 安全な環境での Unisphere の実装 91 安全な展開と使用の設定 図 4 高度なセキュリティによるストレージ管理ネットワーク トポロジー この構成では 2 つのレイヤーで認証を行います。 第 1 に、ユーザーは管理ステーションに ログインするために有効な Windows 認証情報が必要です。 第 2 に、ユーザーはストレー ジ システムを管理するために有効な Unisphere 認証情報が必要です。 この構成には、管 理オプションに関する柔軟性がないという欠点があります。 システムの任意の場所から管 理する機能がなく、ネットワーク全体を集中的に監視する機能も使用できません。 また、こ の環境では、ESRS IP Client を使用してストレージ システムをリモートからサポートすること もできません。 ただし、ESRS IP Client から EMC カスタマー サービスに通知を送信すること はできます。 以上のことから、Unisphere アーキテクチャが、複数の安全な環境に統合する機能に関して 非常に柔軟性が高いことは明らかです。 VNX の管理の実装を成功させるには、VNX for Block - Unisphere コンポーネントによって使用されるポート(34 ページ)および前のシナリオ で説明した Unisphere ネットワークの要件を理解することが重要です。 92 VNX1, VNX2 VNX のセキュリティ構成ガイド 付録 B TSL 暗号スイート この付録では、VNX でサポートされている TSL 暗号スイートのリストを示します。 次のトピックが含まれます。 l サポートされている TLS 暗号スイート..................................................................... 94 TSL 暗号スイート 93 TSL 暗号スイート サポートされている TLS 暗号スイート 暗号スイートでは、TLS 通信をセキュリティで保護するための一連のテクノロジーを定義しま す。 l 鍵交換アルゴリズム(データの暗号化に使用される秘密鍵がクライアントからサーバに 伝達される仕組み)。例:RSA 鍵または DH(Diffie-Hellman) l 認証方法(ホストでリモート ホストの ID を認証する仕組み)。例:RSA 証明書、DSS 証明 書、認証なし l 暗号化サイファ(データを暗号化する仕組み)。例:AES(256 または 128 ビット)または 3DES(168 ビット) l ハッシュ アルゴリズム(データの変更を特定する手段を提供し、データの整合性を確保 する仕組み)。例:SHA-2 または SHA-1 サポートされている暗号スイートは、これらすべての仕組みを兼ね備えています。「VNX2 Control Station のデフォルト/サポート対象の TLS 暗号スイート(94 ページ)」に、Control Station 用の VNX2 でサポートされている暗号スイートのリストを示します。「VNX2 ストレー ジ プロセッサのデフォルト/サポート対象の TLS 暗号スイート(95 ページ)」に、ストレージ プロセッサ用の VNX2 でサポートされている暗号スイートのリストを示します。「VNX2 Data Mover のデフォルト/サポート対象の TLS 暗号スイート(95 ページ)」に、Data Mover 用の VNX2 で使用されるデフォルト/サポート対象の暗号スイートのリストを示します。「レプリケ ーションに関連する VNX2 のデフォルト/サポート対象の TLS 暗号スイート(96 ページ)」 に、レプリケーション用の VNX2 でサポートされている暗号スイートのリストを示します。 「VNX1 Control Station のデフォルト/サポート対象の TLS 暗号スイート(96 ページ)」に、 Control Station 用の VNX1 でサポートされている暗号スイートのリストを示します。「VNX1 ストレージ プロセッサのデフォルト/サポート対象の TLS 暗号スイート(97 ページ)」に、ス トレージ プロセッサ用の VNX1 でサポートされている暗号スイートのリストを示します。 「VNX1 Data Mover のデフォルト/サポート対象の TLS 暗号スイート(97 ページ)」に、Data Mover 用の VNX1 で使用されるデフォルト/サポート対象の暗号スイートのリストを示しま す。「レプリケーションに関連する VNX1 のデフォルト/サポート対象の TLS 暗号スイート (97 ページ)」に、レプリケーション用の VNX1 でサポートされている暗号スイートのリスト を示します。 次のリストは、さまざまな VNX コンポーネントおよび関連ポートの TLS 暗号スイートの OpenSSL 名を示しています。 㽷 読みやすくするため、暗号スイートはアルファベット順に一覧表示しています。順序は、強度 のレベルを示しているわけではありません。 次の制限事項が適用されます。 l 一部の暗号スイートは、証明書のサイズが原因となり、VNX for File で拒否されることが あります(Data Mover から提供される証明書に 2048 ビットの鍵が含まれる場合、それ より小さい鍵を使用した暗号は拒否されます)。 表 9 VNX2 Control Station のデフォルト/サポート対象の TLS 暗号スイート 94 暗号スイート プロトコル ポート AES128-SHA TLSv1 443 AES256-SHA TLSv1 443 DES-CBC3-SHA TLSv1 443 VNX1, VNX2 VNX のセキュリティ構成ガイド TSL 暗号スイート 表 9 VNX2 Control Station のデフォルト/サポート対象の TLS 暗号スイート (続き) 暗号スイート プロトコル ポート AES128-SHA TLSv1、TLSv1.1 5989 AES256-SHA TLSv1、TLSv1.1 5989 DES-CBC3-SHA TLSv1、TLSv1.1 5989 表 10 VNX2 ストレージ プロセッサのデフォルト/サポート対象の TLS 暗号スイート 暗号スイート プロトコル ポート AES128-SHA TLSv1、TLSv1.1、TLSv1.2 443 AES256-SHA TLSv1、TLSv1.1、TLSv1.2 443 DES-CBC3-SHA TLSv1、TLSv1.1、TLSv1.2 443 表 11 VNX2 Data Mover のデフォルト/サポート対象の TLS 暗号スイート 暗号スイート プロトコル AECDH-AES128-SHA TLSv1、TLSv1.1、TLSv1.2 989, 990, 5080 AECDH-AES256-SHA TLSv1、TLSv1.1、TLSv1.2 989, 990, 5080 AECDH-DES-CBC3-SHA TLSv1、TLSv1.1、TLSv1.2 989, 990, 5080 AES128-SHA TLSv1、TLSv1.1、TLSv1.2 989, 990, 5080 AES256-SHA TLSv1、TLSv1.1、TLSv1.2 989, 990, 5080 CAMELLIA128-SHA TLSv1、TLSv1.1、TLSv1.2 989, 990, 5080 CAMELLIA256-SHA TLSv1、TLSv1.1、TLSv1.2 989, 990, 5080 DES-CBC3-SHA TLSv1、TLSv1.1、TLSv1.2 989, 990, 5080 DHE-RSA-AES128-SHA TLSv1、TLSv1.1、TLSv1.2 989, 990, 5080 DHE-RSA-AES128-SHA256(CBC) TLSv1.2 989, 990, 5080 DHE-RSA-AES128-SHA256(GCM) TLSv1.2 989, 990, 5080 DHE-RSA-AES256-SHA TLSv1、TLSv1.1、TLSv1.2 989, 990, 5080 DHE-RSA-AES256-SHA256 TLSv1.2 989, 990, 5080 DHE-RSA-AES256-SHA384 TLSv1.2 989, 990, 5080 DHE-RSA-CAMELLIA128-SHA TLSv1、TLSv1.1、TLSv1.2 989, 990, 5080 DHE-RSA-CAMELLIA256-SHA TLSv1、TLSv1.1、TLSv1.2 989, 990, 5080 ECDHE-RSA-AES128-SHA TLSv1、TLSv1.1、TLSv1.2 989, 990, 5080 ECDHE-RSA-AES128-SHA256(CBC) TLSv1.2 989, 990, 5080 ECDHE-RSA-AES128-SHA256(GCM) TLSv1.2 989, 990, 5080 ECDHE-RSA-AES256-SHA ポート TLSv1、TLSv1.1、TLSv1.2 989, 990, 5080 サポートされている TLS 暗号スイート 95 TSL 暗号スイート 表 11 VNX2 Data Mover のデフォルト/サポート対象の TLS 暗号スイート (続き) 暗号スイート プロトコル ポート ECDHE-RSA-AES256-SHA384(CBC) TLSv1.2 989, 990, 5080 ECDHE-RSA-AES256-SHA384(GCM) TLSv1.2 989, 990, 5080 ECDHE-RSA-DES-CBC3-SHA TLSv1、TLSv1.1、TLSv1.2 989, 990, 5080 EDH-RSA-DES-CBC3-SHA TLSv1、TLSv1.1、TLSv1.2 989, 990, 5080 RSA-AES128-SHA256(CBC) TLSv1.2 989, 990, 5080 RSA-AES128-SHA256(GCM) TLSv1.2 989, 990, 5080 RSA-AES256-SHA256 TLSv1.2 989, 990, 5080 RSA-AES256-SHA384 TLSv1.2 989, 990, 5080 㽷 暗号スイートが鍵交換または認証入力を示していない場合は、RSA が使用されます。 必要な場合は、Unisphere コマンドまたは VNX CLI for File コマンド(server_ftp および server_http)を使用して、Data Mover の暗号パラメーターをデフォルト設定から変更す ることができます。Data Mover の暗号パラメーターの設定方法については、「VNX for File コ マンド ライン インターフェイス リファレンス」を参照してください。 表 12 レプリケーションに関連する VNX2 のデフォルト/サポート対象の TLS 暗号スイート 暗号スイート プロトコル ポート ADH-AES128-SHA TSLV1、TSLV1.1、TLSv1.2 5085 ADH-AES128-SHA256 TLSv1.2 5085 ADH-AES128-GCM-SHA256 TLSv1.2 5085 ADH-AES256-SHA TSLV1、TSLV1.1、TLSv1.2 5085 ADH-AES256-SHA256 TLSv1.2 5085 ADH-AES256-GCM-SHA384 TLSv1.2 5085 ADH-CAMELIA128-SHA TSLV1、TSLV1.1、TLSv1.2 5085 ADH-CAMELIA256-SHA TSLV1、TSLV1.1、TLSv1.2 5085 ADH-DES-CBC3-SHA TSLV1、TSLV1.1、TLSv1.2 5085 表 13 VNX1 Control Station のデフォルト/サポート対象の TLS 暗号スイート 96 暗号スイート プロトコル ポート AES128-SHA TLSv1 443 AES256-SHA TLSv1 443 DES-CBC3-SHA TLSv1 443 DHE-RSA-AES128-SHA TLSv1 443 VNX1, VNX2 VNX のセキュリティ構成ガイド TSL 暗号スイート 表 13 VNX1 Control Station のデフォルト/サポート対象の TLS 暗号スイート (続き) 暗号スイート プロトコル ポート DHE-RSA-AES256-SHA TLSv1 443 EDH-RSA-DES-CBC3-SHA TLSv1 443 AES128-SHA TLSv1、TLSv1.1 5989 AES256-SHA TLSv1、TLSv1.1 5989 DES-CBC3-SHA TLSv1、TLSv1.1 5989 表 14 VNX1 ストレージ プロセッサのデフォルト/サポート対象の TLS 暗号スイート 暗号スイート プロトコル ポート AES128-SHA TLSv1、TLSv1.1 443 AES256-SHA TLSv1、TLSv1.1 443 DES-CBC3-SHA TLSv1、TLSv1.1 443 表 15 VNX1 Data Mover のデフォルト/サポート対象の TLS 暗号スイート 暗号スイート プロトコル ポート AES128-SHA TLSv1 990、5080 AES256-SHA TLSv1 990、5080 CAMELLIA128-SHA TLSv1 990、5080 CAMELLIA256-SHA TLSv1 990、5080 DES-CBC-SHA TLSv1 990、5080 DES-CBC3-SHA TLSv1 990、5080 DHE-RSA-AES128-SHA TLSv1 990、5080 DHE-RSA-AES256-SHA TLSv1 990、5080 DHE-RSA-CAMELLIA128-SHA TLSv1 990、5080 DHE-RSA-CAMELLIA256-SHA TLSv1 990、5080 EDH-RSA-DES-CBC-SHA TLSv1 990、5080 EDH-RSA-DES-CBC3-SHA TLSv1 990、5080 表 16 レプリケーションに関連する VNX1 のデフォルト/サポート対象の TLS 暗号スイート 暗号スイート プロトコル ポート ADH-AES128-SHA TLSv1 5085 ADH-AES256-SHA TLSv1 5085 ADH-CAMELLIA128-SHA TLSv1 5085 サポートされている TLS 暗号スイート 97 TSL 暗号スイート 表 16 レプリケーションに関連する VNX1 のデフォルト/サポート対象の TLS 暗号スイート (続き) 98 暗号スイート プロトコル ポート ADH-CAMELLIA256SHA TLSv1 5085 ADH-DES-CBC3-SHA TLSv1 5085 ADH-DES-CBC-SHA TLSv1 5085 VNX1, VNX2 VNX のセキュリティ構成ガイド 付録 C LDAP ベースのディレクトリ サーバーの構成 この付録には、LDAP ベースのディレクトリ サーバーにおける組織情報の構造をより理解す るために役立つツールに関する詳細、およびその情報の解釈方法に関するヒントが記載さ れています。 まず、ユーザーとグループが存在する場所を理解する必要があります。 この 情報を使用して、ディレクトリ サーバーをセットアップし、Control Station の LDAP ベースの クライアントとディレクトリ サーバーの間の接続を構成します。 Unisphere にログインし、[設 定 > セキュリティ設定](タスク リスト)>[LDAP ドメインの管理]を使用します。 次のトピックが含まれます。 l l Active Directory ユーザーとコンピュータ...............................................................100 Ldap Admin.........................................................................................................101 LDAP ベースのディレクトリ サーバーの構成 99 LDAP ベースのディレクトリ サーバーの構成 Active Directory ユーザーとコンピュータ Active Directory のユーザー アカウントとグループ アカウントは、ADUC(Active Directory ユ ーザーとコンピュータ)MMC スナップインを使用して管理できます。 このスナップインは、す べての Windows ドメイン コントローラに自動的にインストールされます。 このツールにアク セスするには、[コントロール パネル] > [管理ツール] > [Active Directory ユーザーとコンピ ューター]の順にクリックします。 Active Directory に正常に接続するために必要な情報については、Active Directory ディレク トリ サーバーに接続するために必要な情報(100 ページ)を参照してください。 表 17 Active Directory ディレクトリ サーバーに接続するために必要な情報 必要な接続情報 値 完全修飾ドメイン名(基本識別とも呼ばれます) プライマリ ドメイン コントローラ/ディレクトリ サーバーの IP ア ドレスまたはホスト名 セカンダリ ドメイン コントローラ/ディレクトリ サーバーの IP ア ドレスまたはホスト名 アカウント名(バインド識別名とも呼ばれます) 手順 1. ADUC を開き、(必要に応じて)ドメインに接続します。 ドメイン名を右クリックし、メニュー から[検索]を選択します。 2. VNX for File ユーザーとなるドメイン ユーザーを識別します。 ユーザー プロファイルを検 索するには、[検索]フィールドにユーザーの名前を入力し、[検索開始]をクリックしま す。 3. [表示] > [列の選択]を選択して、表示されたユーザー情報に X.500 パスを追加します。 4. [利用可能な列]フィールドから[X500 識別名]を選択し、[追加]をクリックします。 5. [検索]ウィンドウに、対象のユーザーの X.500 識別名が表示されます。 X.500 識別名 には、ユーザーの名前(CN=Joe Muggs)とこのユーザーが存在するディレクトリ構造のコ ンテナへのパス( CN=Users,DC=derbycity,DC=local)が含まれます。パスを記録してお きます。 6. 次のいずれかの方法で、他のすべての VNX for File ユーザーが同じパスを使用してい ることを確認します。 l すべての VNX for File ユーザー アカウントに対して検索を繰り返します。 または l ADUC で該当する領域に移動し、すべての VNX for File ユーザー アカウントを検索し ます。 7. ステップ 1~6 を繰り返し、グループが存在するディレクトリ構造のコンテナへのパスを 検索します。 ユーザーとグループのパスが両方とも CN=Users,DC=<domain component>,DC=<domain component>[, DC=<domain component>...](例: CN=Users,DC=derbycity,DC=local)の場合、Unisphere の[LDAP ドメインの管理]ビュー の[デフォルト Active Directory]オプションを使用できます。 このオプションではユーザ ーとグループがデフォルトのコンテナ(CN=Users)に存在することが想定されるため、ユ ーザー検索パスまたはグループ検索パスを指定する必要はありません。 100 VNX1, VNX2 VNX のセキュリティ構成ガイド LDAP ベースのディレクトリ サーバーの構成 8. ユーザーがデフォルトのコンテナ(CN=Users)に存在しない場合もあります。 たとえば、 VNX for File ユーザーなどは、代わりにディレクトリ内の他のコンテナまたは組織単位に 存在していることがあります。 この場合、Unisphere の[LDAP ドメインの管理]ビューの [カスタム Active Directory]オプションを使用して、検索パスを手動で入力する必要があ ります。 9. グループがデフォルトのコンテナ(CN=Users)に存在しない場合もあります(グループは ユーザーと同じ場所に存在する必要はありません)。 その場合、代わりに、ディレクトリ 内の他のコンテナまたは組織単位に存在していることがあります。 10. LDAP ユーザーとグループの検索は、指定したパスから開始され、そのコンテナと下位 のすべてのコンテナを対象として実行されます。 VNX for File ユーザーとグループが同じ コンテナまたは組織単位に存在しない場合は、ユーザー検索パスとグループ検索パス を指定するときに、収集パスの交差部分(共通部分)を使用する必要があります。 これ はドメインのルートでなければならない場合もあります。 たとえば、VNX for File ユーザー が Active Directory 内の次の 2 か所に格納されていると仮定します。 l パス 1: CN=Users,DC=derbycity,DC=local l パス 2: OU=VNX Users,OU=EMC VNX,DC=derbycity,DC=local VNX for File ですべてのユーザーを検索できるようにするには、検索パスとしてこの 2 個 のパスの交差部分(つまり、ドメインのルート DC=derbycity,DC=local)を使用する必要 があります。Unisphere の[LDAP ドメインの管理]ビューの[ユーザー検索パス]フィール ドにこの値を入力します。 11. 再び[検索]ウィンドウを使用して、VNX for File Control Station からディレクトリに接続す るときに使用するアカウントの完全な X.500 パスを特定します。 この場合、個々のアカ ウントへのパスを指定することになるため、パスからユーザー名を削除しないでくださ い。 l Unisphere の[LDAP ドメインの管理]ビューの[デフォルト Active Directory]オプショ ンを使用している場合は、[アカウント名]フィールドにアカウント名(例:VNX LDAP Binding)のみを入力します。 VNX for File ソフトウェアにより完全な X.500 パスが構 成されるため、X.500 シンタクスを入力する必要はありません。 l [LDAP ドメインの管理]の[カスタム Active Directory]オプションを使用している場合 は、[識別名]フィールドに完全な X.500 パスを入力します。 Ldap Admin Active Directory と異なり、他の LDAP ベースのディレクトリ サーバーには通常 GUI 管理イン タフェースは付属していません。 この場合、Ldap Admin などのツールを使用して、LDAP サ ーバー上の適切な検索パスを見つける必要があります。 無償の Ldap Admin ツール (ldapadmin.sourceforge.net から Windows LDAP マネージャを入手可能)では、LDAP サー バー上のオブジェクトの参照、検索、変更、作成、削除が可能です。 Ldap Admin のクリップ ボードへのコピー機能では、値を Unisphere の[設定 > セキュリティ](タスク リスト)> [LDAP ドメインの管理]フィールドに簡単に移すことができ、特に便利です。 カスタマイズされた Active Directory、または OpenLDAP など、他の LDAP ベースのディレク トリ サーバーに正常に接続するために必要な情報については、カスタマイズされた Active Directory または他の LDAP ベースのディレクトリ サーバーに接続するために必要な情報 (102 ページ)を参照してください。 Ldap Admin 101 LDAP ベースのディレクトリ サーバーの構成 表 18 カスタマイズされた Active Directory または他の LDAP ベースのディレクトリ サーバーに接続す るために必要な情報 必要な接続情報 値 完全修飾ドメイン名(基本識別とも呼ばれます) プライマリ ディレクトリ サーバーの IP アドレスまた はホスト名 セカンダリ ディレクトリ サーバーの IP アドレスまた はホスト名 識別名(バインド識別名とも呼ばれます) User search path User name attribute Group search path Group name attribute グループ クラス グループ メンバー 手順 1. Ldap Admin を起動し、新しい接続を作成します。 [テスト接続]をクリックして接続を確 認します。 2. LDAP サーバーへの接続を開き、ドメイン名を右クリックして、メニューから[検索]を選択 します。 3. VNX for File ユーザーとなる LDAP ユーザーを識別します。 ユーザー プロファイルを検索 するには、[名前]フィールドにユーザーの名前を入力し、[開始]をクリックします。 4. 表示されたリストで該当するユーザーを右クリックして、メニューから[ジャンプ]を選択し ます。 このユーザーを使用して、ユーザー検索パスとグループ検索パスを決定すること になります。 [検索]ウィンドウを閉じます。 5. Ldap Admin のメイン ウィンドウで、ステータス バーにユーザーが存在するフォルダの DN(識別名)が表示されていることを確認します。 LDAP サーバーの多くは、RFC2307 に 記載の規則に従ってユーザーを People コンテナに格納します。 6. フォルダを右クリックして、メニューから[クリップボードに dn をコピー]を選択します。 7. Unisphere の[LDAP ドメインの管理]ビューで[他のディレクトリ サーバー]オプションを 選択します。 [ユーザー検索パス]フィールドに DN 値をペーストします。 8. 次のいずれかの方法で、他のすべての VNX for File ユーザーが同じパスを使用してい ることを確認します。 l すべての VNX for File ユーザー アカウントに対して検索を繰り返します。 または l Ldap Admin で該当するディレクトリ領域に移動し、すべての VNX for File ユーザー アカウントを検索します。 9. ステップ 2~8 を繰り返し、グループが存在するディレクトリ構造のコンテナへのパスを グループ名で検索します。 グループ名で検索する場合、高度な検索機能を使用して、 cn=<group name>の形式で検索フィルタを指定します。 検索が完了したら、表示されたリ ストで該当するグループを右クリックして、メニューから[ジャンプ]を選択します。 102 VNX1, VNX2 VNX のセキュリティ構成ガイド LDAP ベースのディレクトリ サーバーの構成 10. LDAP ユーザーとグループの検索は、指定したパスから開始され、そのコンテナと下位 のすべてのコンテナを対象として実行されます。 VNX for File ユーザーとグループが同じ コンテナまたは組織単位に存在しない場合は、ユーザー検索パスとグループ検索パス を指定するときに、収集パスの交差部分(共通部分)を使用する必要があります。 これ はドメインのルートでなければならない場合もあります。 たとえば、VNX for File ユーザー が Active Directory 内の次の 2 か所に格納されていると仮定します。 l パス 1: OU=People,DC=openldap-eng,DC=local l パス 2: OU=VNX Users,OU=EMC VNX, DC=openldap-eng,DC=local VNX for File ですべてのユーザーを検索できるようにするには、検索パスとして 2 個のパ スの交差部分(つまり、ドメインのルート DC=openldap-eng,DC=local)を使用する必要 があります。 11. [検索]ウィンドウを使用して、VNX for File Control Station からディレクトリに接続すると きに使用するユーザー アカウントを特定します。 アカウント名を右クリックして、[クリップ ボードに dn をコピー]を選択します。 Unisphere の[LDAP ドメインの管理]ビューの[識 別名]フィールドに DN 値(例:uid=vnx,ou=People)をペーストします。 Ldap Admin 103 LDAP ベースのディレクトリ サーバーの構成 104 VNX1, VNX2 VNX のセキュリティ構成ガイド 付録 D VNX for File の CLI の役割に基づくアクセス この付録では、VXN for File の CLI コマンドに対する役割に基づくアクセスのセットアップ方 法についての情報を提供します。 さまざまな種類のコマンドの一覧も記載されています。 次 のトピックが含まれます。 l CLI の役割に基づくアクセスのセットアップ............................................................106 VNX for File の CLI の役割に基づくアクセス 105 VNX for File の CLI の役割に基づくアクセス CLI の役割に基づくアクセスのセットアップ ユーザー アカウントは常にプライマリ グループに関連づけられ、各グループには役割が割 り当てられます。 役割は、ユーザーが特定のファイル オブジェクトに対して実行できる権限 (操作)を定義します。 コマンドに対する役割に基づくアクセスの定義 この付録では、CLI コマンド用の役割に基づいたアクセスを設定する方法について説明しま す。 最初の 4 個の表には、さまざまなコマンド アクションの実行に必要な権限を指定できる CLI コマンドを示します。 コマンドごとに、権限を定義するオブジェクトと、変更の権限または 完全な管理権限が選択されている場合に使用できる特定のコマンド アクションが示されま す。 これらの情報を使用して、カスタム役割(ユーザーの役割とも呼ばれる)を作成し、その 役割を持つユーザーに対して各自のジョブを実行するのに必要な権限のみを割り当てるこ とができます。 または、コマンドに対する完全な管理権限をすでに含む事前定義された役 割をユーザーに関連づけることもできます。 最初の表は、cel というプレフィックスを持つコ マンドの一覧です。 2 番目の表は、fs というプレフィックスを持つコマンドの一覧です。 3 番 目の表は、nas というプレフィックスを持つコマンドの一覧です。 4 番目の表は、server とい うプレフィックスを持つコマンドの一覧です。 役割に基づいた管理アクセスを作成および管理するには、[設定] > [セキュリティ] > [ユー ザー管理] > [ファイル用のローカル ユーザー] > [役割]または[設定] > [セキュリティ] > [ユ ーザー管理] > [ファイルに対するユーザー カスタマイズ] > [役割]を選択します。 ユーザー アカウントを作成し、そのユーザーをグループと役割に関連づけるには、root であるか、管 理者またはセキュリティ管理者の役割に関連づけられているユーザーである必要がありま す。 読み取り専用権限 ユーザーは、自分に関連づけられた役割と関係なく、情報を表示するすべてのコマンドおよ びコマンド オプション用の読み取り専用権限を常に持っています。 読み取り専用権限で使 用可能なコマンド アクションには、info、list、status、verify があります。 5 番目の表は、ど の役割に関連づけられたユーザーでも実行できるコマンドの一覧です。 役割に基づくアクセス機能の対象外のコマンド 最後の表は、役割に基づいたアクセス機能の対象になっていないコマンドの一覧です。 こ れらのコマンドには、スクリプトを起動するもの、従来の実行可能プログラムに基づくもの、 内在的なファイル オブジェクトに関連づけられるものがあります。 コマンドに関連づけられ たファイル オブジェクトが[役割の作成]で公開されていない場合は、さまざまなコマンド ア クションを実行するために必要な権限を指定できるカスタム(ユーザーの)役割を作成できま せん。 このため、これらのコマンドを実行できるのは、デフォルトのユーザー カウントである root と nasadmin、または(場合によっては)root および nasadmin の役割に関連づけられ たユーザー アカウントだけです。 cel コマンド 㽷 [オブジェクト カテゴリー]に、権限を設定できる[役割]ダイアログのフィールドが一覧表示さ れます。 㽷 すべてのコマンドは、別途記載がない限り、NAS 管理者およびストレージ管理者の役割にも 含まれます。 106 VNX1, VNX2 VNX のセキュリティ構成ガイド VNX for File の CLI の役割に基づくアクセス 表 19 cel コマンド コマンド オブジェクト カテゴリ ー cel_fscelfs [ストレージ]>[ファイル システム] 変更権限で使用可能 なアクション 完全な管理権限で使用可 能なアクション 事前定義の役割に含 まれる内容 展開 インポート FileMover アプリケーショ ン fs コマンド 㽷 [オブジェクト カテゴリー]に、権限を設定できる[役割]ダイアログのフィールドが一覧表示さ れます。 㽷 すべてのコマンドは、別途記載がない限り、NAS 管理者およびストレージ管理者の役割にも 含まれます。 表 20 fs コマンド コマンド オブジェクト カテゴリ ー 変更権限で使用可能 なアクション 完全な管理権限で使用可 事前定義の役割に含 能なアクション まれる内容 fs_ckpt [データ保護]>[チェッ クポイント] 変更 更新 作成 リストア データ保護 データ リカバリ ローカル データ保護 fs_dhsm [ストレージ]> [FileMover] fs_group [ストレージ]>[ファイル システム] 接続の変更 変更 接続の新規作成 接続の削除 FileMover アプリケーショ ン 作成 削除 FileMover アプリケーショ ン 縮小 延長 fs_rdf [ストレージ]>[ファイル システム] 情報 ミラー リストア fs_timefinder [ストレージ]>[ファイル システム] ミラー リストア スナップショット nas コマンド 㽷 [オブジェクト カテゴリー]に、権限を設定できる[役割]ダイアログのフィールドが一覧表示さ れます。 CLI の役割に基づくアクセスのセットアップ 107 VNX for File の CLI の役割に基づくアクセス 㽷 すべてのコマンドは、別途記載がない限り、NAS 管理者およびストレージ管理者の役割にも 含まれます。 表 21 nas コマンド コマンド オブジェクト カテゴリ ー 変更権限で使用可能 完全な管理権限で使用 なアクション 可能なアクション 事前定義の役割に含ま れる内容 nas_ckpt_schedule [データ保護]>[チェッ クポイント] [データ保護]>[VTLU] 変更 一時停止 データ保護 データ リカバリ nas_copy 作成 削除 再開 [データ保護]>[レプリ ケーション] ローカル データ保護 作成 ターゲット データ リカバリ ソース 相互接続 nas_devicegroup acl 再開 [ストレージ]>[ファイ ル システム] 中断 nas_disk [ストレージ]>[ボリュ ーム] nas_diskmark [ストレージ]>[ファイ ル システム] nas_fs [ストレージ]>[ファイ ル システム] 名前の変更 削除 mark 変更 名前の変更 acl 作成 アクセス ポリシー変換 の開始 削除 FileMover アプリケーショ ン タイプ 延長 nas_fsck [ストレージ]>[ファイ ル システム] nas_licensenas_lice nse [システム]>[ライセン ス] スタート 作成 削除 セキュリティ管理者(NAS 管理者およびストレージ管 理者の役割には含まれな い) 初期化 nas_pool [ストレージ]>[プー ル] 変更 縮小 FileMover アプリケーショ ン 作成 削除 延長 nas_quotas [ストレージ]>[クォー タ] [ストレージ]>[ファイ ル システム] 編集 オン | オフ クリア nas_replicate [データ保護]>[レプリ ケーション] 変更 更新 作成 削除 フェイルオーバー 108 VNX1, VNX2 VNX のセキュリティ構成ガイド データ リカバリ VNX for File の CLI の役割に基づくアクセス 表 21 nas コマンド (続き) コマンド オブジェクト カテゴリ ー 変更権限で使用可能 完全な管理権限で使用 なアクション 可能なアクション 事前定義の役割に含ま れる内容 リバース スタート 停止 スイッチオーバー nas_server [システム]>[Data Mover] [プロトコル]>[CIFS] acl 名前の変更 作成 削除 ([システム]>[Data Mover] オブジェクト カテゴリー) vdm ([プロトコル]>[CIFS]オブ ジェクト カテゴリー) nas_slice [ストレージ]>[ボリュ ーム] 名前の変更 作成 削除 nas_storage [ストレージ]>[ファイ ル システム] 変更 名前の変更 acl 削除 フォールバック 同期 nas_task [システム]>[タスク] nas_volume [ストレージ]>[ボリュ ーム] 中止 削除 名前の変更 延長 すべてのユーザーは自分 が所有するタスクを中止お よび削除できますが、他の ユーザーが所有するタス クは、root ユーザーだけ が中止および削除できま す acl クローン 作成 削除 server コマンド 㽷 [オブジェクト カテゴリー]に、権限を設定できる[役割]ダイアログのフィールドが一覧表示さ れます。 㽷 すべてのコマンドは、別途記載がない限り、NAS 管理者およびストレージ管理者の役割にも 含まれます。 CLI の役割に基づくアクセスのセットアップ 109 VNX for File の CLI の役割に基づくアクセス 表 22 server コマンド コマンド オブジェクト カテゴリ ー server_arp [ネットワーク]>[NIS] server_cdms [ストレージ]>[移行] 変更権限で使用可能 なアクション 変換 一時停止 完全な管理権限で使用 可能なアクション 事前定義の役割に含ま れる内容 削除 設定 ネットワーク管理者 接続 切断 スタート server_certificate CA 証明書の削除 CA 証明書のインポート [セキュリティ]>[公開 鍵証明書] ペルソナのクリア セキュリティ管理者(NAS 管理者およびストレージ管 理者の役割には含まれな い) ペルソナの生成 ペルソナのインポート server_cifs [プロトコル]>[CIFS] 無効化 有効化 追加 削除 結合 移行 名前の変更 置換 参加解除 更新 server_cifssupport [プロトコル]>[CIFS] acl SECMAP の更新 SECMAP の作成 SECMAP の削除 SECMAP のインポート SECMAP の移行 server_cpu [システム]>[Data Mover] server_date [システム]>[Data Mover] 一時停止 再起動 timesvc ホスト timesvc の開始 timesvc の削除 timesvc の設定 timesvc の更新 timesvc の停止 server_devconfig [ストレージ]>[ストレー 名前の変更 ジ システム] 作成 server_dns [ネットワーク]>[DNS] オプション 削除 NFS server_export [プロトコル]>[NFS] または アンエクスポート プロトコル(NFS) サービス開始 | 停止 ネットワーク管理者 [プロトコル]>[CIFS] server_ftp [プロトコル]>[NFS] 変更 サービス状態のリセット server_http [ストレージ]> [FileMover] 変更 追加 110 VNX1, VNX2 VNX のセキュリティ構成ガイド ネットワーク管理者 FileMover アプリケーション VNX for File の CLI の役割に基づくアクセス 表 22 server コマンド (続き) コマンド オブジェクト カテゴリ ー 変更権限で使用可能 なアクション 完全な管理権限で使用 可能なアクション 事前定義の役割に含ま れる内容 作成 削除 ネットワーク管理者 ネイバー作成 | 削除 ルート作成 | 削除 ネットワーク管理者 追加 削除 セキュリティ管理者(NAS 管理者およびストレージ管 理者の役割には含まれな い) クリア サービス開始 | 停止 ネットワーク管理者 すべて 強制 FileMover アプリケーション 削除 サービス開始 | 停止 server_ifconfig [ネットワーク]>[インタ アップ フェース] ダウン ipsec および noipsec (バージョン 8.x よりも前 の VNX OE for File を実 行しているシステムにの み該当) mtu VLAN server_ip [ネットワーク]>[ルー ティング] server_kerberos [プロトコル]>[CIFS] キータブ C キャッシュ K アドミン server_ldap [ネットワーク]>[NIS] server_mount [ストレージ]>[ファイル システム] 設定 オプション server_mountpoint [ストレージ]>[ファイル システム] server_name [システム]>[Data Mover] <new_name> server_nfs [プロトコル]>[NFS] ユーザー v4 クライアント サービス プリンシパル v4 統計情報ゼロ v4 サービス 作成 削除 server_nfsstatserver _nfsstat [プロトコル]>[NFS] server_nis [ネットワーク]>[NIS] server_param [システム]>[Data Mover] ツール server_rip [ネットワーク]>[ルー ティング] RIP 処理 RIP 処理なし server_route [ネットワーク]>[ルー ティング] コマンド オプションの mapper set および mapping は root でのみ実 行可能 0 削除 ネットワーク管理者 ネットワーク管理者 追加 削除 ネットワーク管理者 CLI の役割に基づくアクセスのセットアップ 111 VNX for File の CLI の役割に基づくアクセス 表 22 server コマンド (続き) コマンド オブジェクト カテゴリ ー 変更権限で使用可能 なアクション 完全な管理権限で使用 可能なアクション 事前定義の役割に含ま れる内容 フラッシュ すべて削除 server_security [プロトコル]>[CIFS] 変更 更新 server_setup [システム]>[Data Mover] ロード NFS 追加 削除 セキュリティ管理者(NAS 管理者およびストレージ管 理者の役割には含まれな い) コミュニティ 場所 ネットワーク管理者 ロード server_snmp [ネットワーク]>[NIS] syscontact server_standby [システム]>[Data Mover] server_stats [ストレージ]>[ファイル モニター システム] server_sysconfig [ネットワーク]>[デバ イス] server_umount server_usermapper アクティブ化 リストア pci 作成 削除 noresolve サービスさーびす 仮想化新規作成 仮想化削除 ネットワーク管理者 [ストレージ]>[ファイル 一時 システム] すべて perm FileMover アプリケーション [プロトコル]>[CIFS] 無効化 有効化 セキュリティ管理者(NAS 管理者およびストレージ管 理者の役割には含まれな い) インポート 削除 server_vtlu [データ保護]>[VTLU] サービス セット ストレージ拡張 ドライブのマウント解除 ストレージ削除 ストレージ エクスポート ストレージ新規作成 ストレージ インポート テープ取り出し TLU の変更 テープ挿入 TLU 削除 表 23 すべての役割に実行権限があるコマンド コマンド nas_inventory server_checkup server_df 112 VNX1, VNX2 VNX のセキュリティ構成ガイド FileMover アプリケーション VNX for File の CLI の役割に基づくアクセス 表 23 すべての役割に実行権限があるコマンド (続き) コマンド server_pingserver_ping server_ping6 server_sysstatserver_sysstat server_uptime server_version 表 24 役割に基づくアクセス機能の対象外のコマンド コマンド 注意事項 cs_standby root 権限が必要 nas_aclnasacl nasadmin 権限で実行可能 nas_automountmap nasadmin 権限で実行可能 nas_ca_certificate 証明書の生成には root 権限が必要 nas_cel nasadmin 権限で実行可能 nas_checkup nasadmin 権限で実行可能 nas_connecthome 変更およびテストには root 権限が必要 nas_confignas_config root 権限が必要 nas_cs root 権限が必要 nas_emailuser nasadmin 権限で実行可能 nas_event nasadmin 権限で実行可能 nas_halt root 権限が必要 nas_logviewer nasadmin 権限で実行可能 nas_message nasadmin 権限で実行可能 nas_mview root 権限が必要 nas_rdf root 権限が必要 nas_version nasadmin 権限で実行可能 server_archive nasadmin 権限で実行可能 server_cepp nasadmin 権限で実行可能 server_dbms データベースの削除、圧縮、修復、リストアには root 権限が必要 server_file nasadmin 権限で実行可能 server_ipsec nasadmin 権限で実行可能 server_iscsi nasadmin 権限で実行可能 server_logserver_log nasadmin 権限で実行可能 CLI の役割に基づくアクセスのセットアップ 113 VNX for File の CLI の役割に基づくアクセス 表 24 役割に基づくアクセス機能の対象外のコマンド (続き) コマンド 注意事項 server_mpfs nasadmin 権限で実行可能(バージョン 8.x よりも前の VNX OE for File を実行しているシステムにのみ該当) server_mt nasadmin 権限で実行可能 server_netstatserver_nets nasadmin 権限で実行可能 tat 114 server_nfs セキュア NFS マッピングの構成には root 権限が必要 server_pax 統計情報をリセットするには root 権限が必要 server_snmpd nasadmin 権限で実行可能 server_stats nasadmin 権限で実行可能 server_tftp nasadmin 権限で実行可能 server_user nasadmin 権限で実行可能 server_viruschk nasadmin 権限で実行可能 VNX1, VNX2 VNX のセキュリティ構成ガイド 付録 E VNX for File の CLI セキュリティ構成オプション この付録では、VNX for File の CLI を使用して実行できるセキュリティ構成関連の操作につ いて説明します。 主要なトピックは以下のとおりです。 l l l l l l l l l l パスワード ポリシーの構成.................................................................................. 116 セッション タイムアウトの構成.............................................................................. 117 セッション トークンの保護.....................................................................................118 SSL プロトコルを使用したネットワークの暗号化と認証の構成...............................119 PKI の構成.......................................................................................................... 121 PKI の管理.......................................................................................................... 135 ログイン バナーのカスタマイズ............................................................................ 139 MOTD の作成...................................................................................................... 139 匿名 root ログインの制限.................................................................................... 140 ログインの失敗回数が指定した回数を超えた場合にアカウントをロックする..........141 VNX for File の CLI セキュリティ構成オプション 115 VNX for File の CLI セキュリティ構成オプション パスワード ポリシーの構成 この機能は VNX for File の root アドミニストレータが、すべてのローカル ユーザーに対する パスワードの複雑性要件を定義できるようにします。 パスワード ポリシー(27 ページ)で は、概要を説明しています。 㽷 この機能は、ドメインにマップされているユーザーには適用されません。これらのユーザー のパスワードは、ドメイン内のポリシーで管理されます。 また、/nas/sbin/nas_config コ マンドを実行するには、ユーザーが root である必要があります。 パスワード ポリシーの対話形式での定義 手順 1. パスワード ポリシー定義のプロンプトを表示するスクリプトを開始するには、次のコマン ド シンタクスを使用します。 # /nas/sbin/nas_config -password 出力: Minimum length for a new password (Between 6 and 15): [8] Number of attempts to allow before failing: [3] Number of new characters (not in the old password): [3] Number of digits that must be in the new password: [1] Number of special characters that must be in a new password: [0] Number of lower case characters that must be in password: [0] Number of upper case characters that must be in password: [0] 2. 各フィールドに定義されている現在値は括弧内に表示されます。 各フィールドの元のデ フォルト値は次のとおりです。 長さ: 8 文字以上、範囲 6~15 試行回数: 3 回以下 新し い文字: 3 文字以上 桁数: 1 桁以上 特殊文字、小文字、大文字: 0 各フィールドの値を変更するには、プロンプトが表示されたときに新しい値を入力しま す。 特定のパスワード ポリシー定義の規定 手順 1. 特定のパスワード ポリシー定義を設定するには、次のコマンド シンタクスを使用します。 # /nas/sbin/nas_config -password[-min [<6..15>]] [-retries [<max_allowed>]] [-newchars [<min_num>]] [-digits [<min_num>]] [-spechars [<min_num>]] [-lcase [<min_num>]] [-ucase [<min_num>]] ここで、 [<6..15>] = 新しいパスワードの最小長 デフォルトの長さは 8 文字。 6~15 文字の長さ にする必要がある。 [<max_allowed>] = 許容される新しいパスワードを定義できる回数。この試行回数を超え ると、コマンドが失敗する。 デフォルト値は 3 回です。 [<min_num>] = 古いパスワードでは使用されていない文字を新しいパスワードに含める 必要のある最小文字数。 デフォルト値は 3 文字です。 116 VNX1, VNX2 VNX のセキュリティ構成ガイド VNX for File の CLI セキュリティ構成オプション [<min_num>] = 新しいパスワードに含める必要のある数字の最小文字数。 デフォルト値 は 1 文字です。 [<min_num>] = 新しいパスワードに含める必要のある特殊文字(!、@、#、$、%、&、^、* など)の最小文字数。 デフォルト値は 0。 [<min_num>] = 新しいパスワードに含める必要のある小文字の最小文字数。 デフォルト 値は 0。 [<min_num>] = 新しいパスワードに含める必要のある大文字の最小文字数。 デフォルト 値は 0。 例: 新しいパスワードの最小長を 10 文字に設定するには、次のように入力します。 # /nas/sbin/nas_config -password -min 10 パスワードの有効期限の設定 /etc/login.def ファイルには、パスワードの有効期限を設定する場合に使用するパラメータ が含まれています。 1. ユーザー名とパスワードを入力して CLI にログインします。 /etc/login.defs ファイルにア クセスするには、root 権限が必要です。 2. vi または別のテキスト エディタを使用して、/etc/login.defs ファイル内の pass_max_days パラメータの値を変更します。 㽷 デフォルトの有効期限は 120 日です。 セッション タイムアウトの構成 VNX for File では、Unisphere セッションと Control Station シェル セッションの両方に対し て、セッションのタイムアウトを適用します。 コマンド/nas/sbin/nas_config sessiontimeout を使用して、Control Station セッションのタイムアウトのデフォルト値を変 更できます。 㽷 /nas/sbin/nas_config -sessiontimeout コマンドを実行するには、ユーザーが root である必要があります。 Control Station では、次の 3 種類のシェルがサポートされています。 l bash l ksh l tcsh 各シェルでは、セッションのタイムアウト機能がサポートされています。 Control Station セッ ションのタイムアウト オプションでは、システム全体のセッション タイムアウト値を設定しま す。これにより、bash シェルと ksh シェルについては/etc/environment の該当する値、tcsh シェルについては/etc/csh.cshrc の autologout 変数が自動的に更新されます。 値を設定すると、新しく作成されたシェルに適用されます(現在実行されているシェルには適 用されません)。 パスワードの有効期限の設定 117 VNX for File の CLI セキュリティ構成オプション 㽷 個々のユーザーのセッション タイムアウト値を変更するには、ユーザーのシェル構成ファイ ル(例:~/.bashrc)で該当する変数を設定します。 構成ファイルを直接編集する場合、値 の制限はありません。 セッション タイムアウト値の変更 Control Station シェル セッションのデフォルトのセッション タイムアウト値は 60 分です。 非 アクティブ時間またはアイドル時間は、プライマリ シェル プロンプトが表示され、入力の受信 がなくなってから経過した時間として定義されます。 したがって、コマンドのプロンプトで若干 の不定時間を待機する場合は、セッション タイムアウト値の影響を受けません。 手順 1. セッション タイムアウト値を変更するには、次のコマンド シンタクスを使用します。 # /nas/sbin/nas_config -sessiontimeout[<minutes>] ここで、 [<minutes>] = セッションがタイムアウトするまでの時間(5~240 分の分単位で指定) 例: セッション タイムアウト値を 200 分に変更するには、次のように入力します。 # /nas/sbin/nas_config -sessiontimeout 200 セッション タイムアウトの無効化 手順 1. セッション タイムアウトを無効化するには、次のコマンド シンタクスを使用します。 # /nas/sbin/nas_config -sessiontimeout 0 または # /nas/sbin/nas_config -sessiontimeout off セッション トークンの保護 ユーザーと Unisphere 間の接続、および 2 個の VNX for File システム間の接続では、SHA1 を使用してチェックサムを生成することで、ログインしたユーザーを識別するためのセッショ ン トークン(Cookie)を保護します。チェックサムを生成するために使用される SHA1 秘密値 は、インストール時にランダムに設定されます。 ただし、セキュリティを強化するために、デ フォルトの SHA1 秘密値を変更できるようになっています。 1. ユーザー名とパスワードを入力して CLI にログインします。 /nas/http/conf/secret.txt ファイルにアクセスするには、root 権限が必要です。 2. vi または別のテキスト エディタを使用して、/nas/http/conf/secret.txt ファイルを編集し ます。 デフォルトのフレーズを新しい値で置き換え、ファイルを保存します。 この値を変更すると、既存のセッション トークンは有効でなくなり、現在のユーザーはロ グインし直す必要があります。 118 VNX1, VNX2 VNX のセキュリティ構成ガイド VNX for File の CLI セキュリティ構成オプション SSL プロトコルを使用したネットワークの暗号化と認証の構成 SSL(Secure Socket Layer)は、インターネット上のネットワーク転送を暗号化するために使 用されるセッション レベル プロトコルです。 データを暗号化し、メッセージとサーバーの認証 を行います。 サーバーから要求された場合、クライアント認証もサポートします。 SSL は上 位レベルのプロトコルから独立しているため、HTTP や LDAP などの任意のアプリケーション レベル プロトコルをカプセル化できます。 l HTTP(Hypertext Transfer Protocol)は、Web 上で使用される、高速でステータスや情報 を持たないオブジェクト指向のプロトコルです。 このプロトコルにより、Web クライアント とサーバーでネゴシエーションや対話が可能になります。 残念ながら、セキュリティ機能 はほとんど備わっていません。 HTTPS(Secure)は、SSL を有効にしたサーバーで使用さ れる HTTP の一種です。 l LDAP(Lightweight Directory Access Protocol)は、TCP/IP を使用して直接実行される業 界標準のアクセス プロトコルです。 Active Directory や他のディレクトリ サーバー(Sun Java System Directory Server(iPlanet)や OpenLDAP など)のプライマリ アクセス プロト コルとなっています。 VNX for File では、Data Mover の HTTP 接続と LDAP 接続に対して SSL がサポートされてい ます。 VNX for File での HTTPS の使用 Data Mover の HTTP 接続で SSL を有効にするには、server_http コマンドを使用します。 現在、VNX for File の FileMover 機能では、HTTPS および SSL の暗号化および認証機能を 使用しています。 FileMover 用に HTTP で SSL を使用するように構成する方法については、 「VNX FileMover の使用方法」を参照してください。 SSL で使用される鍵と証明書は、PKI を使 用して管理されます。 PKI は CLI および Unisphere 経由で使用できます。 PKI 機能の概要 については、VNX for File での公開鍵基盤の計画に関する考慮事項(62 ページ)を参照して ください。 VNX for File CLI から PKI を構成および管理する方法については、PKI の構成 (121 ページ)および PKI の管理(135 ページ)を参照してください。 VNX for File での LDAP SSL の使用 Data Mover の LDAP 接続で SSL を有効化するには、server_ldap コマンドを使用します。 現在、OpenLDAP、iPlanet、Active Directory に対する VNX for File のネーム サービスのサ ポートでは、LDAP および SSL の暗号化および認証機能が使用されています。 OpenLDAP や iPlanet の LDAP ベースのディレクトリ サーバーに使用する LDAP 付き SSL を構成する方 法については、「VNX ネーム サービスの構成」を参照してください。 SSL で使用される鍵と証 明書は、PKI を使用して管理されます。 PKI は CLI および Unisphere 経由で使用できます。 PKI 機能の概要については、VNX for File での公開鍵基盤の計画に関する考慮事項(62 ペ ージ)を参照してください。 VNX for File CLI から PKI を構成および管理する方法について は、PKI の構成(121 ページ)および PKI の管理(135 ページ)を参照してください。 デフォルトの SSL プロトコルの変更 VNX for File では、次の SSL プロトコル バージョンがサポートされています。 l SSLv3 l TLSv1 手順 1. デフォルトの SSL プロトコルを変更するには、次のコマンド シンタクスを使用します。 SSL プロトコルを使用したネットワークの暗号化と認証の構成 119 VNX for File の CLI セキュリティ構成オプション $ server_param [<movername>] -facility ssl -modify protocol [-value] [<new_value>] ここで、 [<movername>] = Data Mover の名前 [<new_value>] = 0(SSLv3 および TLSv1 の両方)、1(SSLv3 のみ)、または 2(TLSv1 の み) 㽷 デフォルト値は 0。 パラメータとファシリティの名前は大文字と小文字が区別されます。 例: デフォルトの SSL プロトコルを SSLv3 のみに変更するには、次のように入力します。 $ server_param server_2 -facility ssl -modify protocol -value 1 デフォルトの SSL プロトコルを TLSv1 のみに変更するには、次のように入力します。 $ server_param server_2 -facility ssl -modify protocol -value 2 出力: server_2 : done デフォルトの SSL 暗号スイートの変更 暗号スイートでは、SSL 通信をセキュリティで保護するための一連のテクノロジーを定義しま す。 l 鍵交換アルゴリズム(データの暗号化に使用される秘密鍵がクライアントからサーバー に伝達される仕組み)。 例: RSA 鍵または DH(Diffie-Hellman) l 認証方法(ホストでリモート ホストの ID を認証する仕組み)。 例: RSA 証明書、DSS 証 明書、認証なし l 暗号化サイファ(データを暗号化する仕組み)。 例: AES(256 または 128 ビット)、RC4 (128 または 56 ビット)、3DES(168 ビット)、DES(56 または 40 ビット)、NULL 暗号化 l ハッシュ アルゴリズム(データの変更を特定する手段を提供し、データの整合性を確保 する仕組み)。 例: SHA-1 または MD5 サポートされている暗号スイートは、これらすべての仕組みを兼ね備えています。 サポート されている SSL 暗号スイート(94 ページ)に、VNX for File でサポートされている SSL 暗号ス イートのリストを示します。 手順 1. デフォルトの SSL 暗号スイートを変更するには、次のコマンド シンタクスを使用します。 $ server_param [<movername>] -facility ssl -modify cipher -value [<new_value>] ここで、 [<movername>] = 指定した名前。 [<new_value>] = 新しい暗号値を指定する文字列。 この値に特殊文字(セミコロン、スペ ース文字、感嘆符など)を含める場合は、引用符で囲む必要がある。 120 VNX1, VNX2 VNX のセキュリティ構成ガイド VNX for File の CLI セキュリティ構成オプション 㽷 デフォルトの暗号スイートの値は、ALL:!ADH:!SSLv2:@STRENGTH です。この値は、VNX for File で SSLv2、匿名 Diffie-Hellman、NULL 暗号を除くすべての暗号がサポートされ、 それぞれの「strength」つまり、暗号化キーのサイズでソートされることを意味していま す。 パラメータとファシリティの名前は大文字と小文字が区別されます。 例: デフォルトの SSL 暗号スイートを強力な暗号(主に、AES128 および AES256)に変更し、 新しい各 SSL 接続で使用されるようにするには、次のように入力します。 $ server_param server_2 -facility ssl -modify cipher -value ‘HIGH:@STRENGTH’ 出力: server_2 : done 事後条件 SSL パラメータ値を変更した後は、SSL プロトコルと暗号スイートの変更を適用するために Data Mover を再起動する必要があります。 PKI の構成 この機能の概要については公開鍵基盤のプランニングに関する考慮事項(62 ページ)を参 照してください。 ペルソナによって提供される証明書の作成 ペルソナから Data Mover または Control Station に提供される証明書を作成する手順は、 証明書に署名する CA(認証局)として外部の CA と Control Station のどちらを使用するか によって若干異なります。 1. 鍵セットと証明書要求の生成(122 ページ) 2. CA への証明書要求の送信(125 ページ)(Control Station を使用する場合は不要) 3. CA 署名済み証明書のインポート(126 ページ)(Control Station を使用する場合は不 要) CA としての Control Station の使用 Control Station を CA として使用する手順には、次のタスクが含まれます。 1. 新しい Control Station CA 証明書の生成(130 ページ) 2. 証明書の表示(131 ページ) 3. Control Station CA 証明書の配布(132 ページ) 事後条件 121 VNX for File の CLI セキュリティ構成オプション 㽷 Control Station は、Apache Web サーバー(Unisphere の代わり)とユーザーの Web ブラウ ザの間の SSL ベース接続について個別の鍵セットを継続して生成します。 ただし、現在 Control Station は、CA の鍵セットを使用して Apache Web サーバーの証明書に署名します (現在、証明書は自己署名ではありません)。 Unisphere の証明書を管理する方法につい ては、「VNX for File 管理アプリケーションのインストール」を参照してください。 CA 証明書の取得 サーバーの ID を確認するために使用される CA 証明書を取得する手順には、次のタスクが 含まれます。 1. 利用可能な CA 証明書の一覧表示(127 ページ) 2. CA 証明書の入手(128 ページ) 3. CA 証明書のインポート(130 ページ) 鍵セットと証明書要求の生成 ペルソナから Data Mover に提供される証明書を作成するには、まずペルソナの公開/秘密 鍵セットとともに、CA への証明書署名リクエストを生成します。 CA としては、外部の CA を 使用することも、Control Station を使用することもできます。 外部の CA により署名される証明書の作成 手順 1. 鍵セットと外部の CA により署名される証明書の要求を生成するには、次のコマンド シン タクスを使用します。 $ server_certificate [<movername>] -persona -generate {[<persona_name>]| id=[<persona_id>]} -key_size [<bits>] {-cn|-common_name} [<common_name>] ここで、 <movername>[= ペルソナが関連づけられている物理 Data Mover の名前。] <persona_name>[= ペルソナの名前。] <persona_id>[= ペルソナの ID。] この ID は、ペルソナの作成時に生成されます。 persona -list コマンドを使用して ID を特定できます。 <bits>[= 鍵のサイズ(2048 または 4096 ビットのいずれか)。] [<common_name>] = 一般的に使用される名前(通常、ペルソナが関連づけられている Data Mover を表すホスト名)。 この名前に特殊文字(セミコロン、スペース文字、感嘆符 など)を含める場合は、引用符で囲む必要があります。 㽷 証明書要求は、PEM 形式でのみ生成されます。 例: 鍵セットと外部の CA により署名される証明書の要求を生成するには、次のように入力し ます。 $ server_certificate server_2 -persona -generate default -key_size 4096 -cn ‘name;1.2.3.4’ 122 VNX1, VNX2 VNX のセキュリティ構成ガイド VNX for File の CLI セキュリティ構成オプション 出力: server_2 : Starting key generation. This could take a long time ... done Control Station により署名される証明書の作成 Control Station を使用して証明書に署名する場合は、証明書の有効期限(月数)を指定す る必要があります。 手順 1. 鍵セットと Control Station により署名される証明書の要求を生成するには、次のコマン ド シンタクスを使用します。 $ server_certificate [<movername>] -persona -generate {[<persona_name>]|id=[<persona_id>]} -key_size [<bits>] -cs_sign_duration [<# of months>]{-cn|-common_name} [<common_name>] ここで、 <movername>[= ペルソナが関連づけられている物理 Data Mover の名前。] <persona_name>[= ペルソナの名前。] <persona_id>[= ペルソナの ID。] この ID は、ペルソナの作成時に生成されます。 persona -list コマンドを使用して ID を特定できます。 <bits>[= 鍵のサイズ(2048 または 4096 ビットのいずれか)。] <# of months>[= 証明書の有効期限(月数)。] [<common_name>] = 一般的に使用される名前(通常、ペルソナが関連づけられている Data Mover を表すホスト名)。 この名前に特殊文字(セミコロン、スペース文字、感嘆符 など)を含める場合は、引用符で囲む必要があります。 㽷 証明書要求は、PEM 形式でのみ生成されます。 例: 鍵セットと Control Station により署名される証明書の要求を生成するには、次のように 入力します。 $ server_certificate server_2 -persona -generate default -key_size 4096 -cs_sign_duration 13 -cn ‘name;1.2.3.4’ 出力: server_2 : Starting key generation. This could take a long time ... done ペルソナに関する詳細情報を示す証明書の作成 ペルソナの公開/秘密鍵セットと証明書リクエストを生成するとき、Data Mover に関する詳 細情報を指定できます。 通常、この情報には、Data Mover を使用する組織やその所在地 などの詳細が含まれます。 また、証明書要求を特定のファイルに保存するオプションもあり ます。 鍵セットと証明書要求の生成 123 VNX for File の CLI セキュリティ構成オプション 手順 1. 鍵セットと外部の CA により署名される証明書の要求を生成し、Data Mover に関する詳 細情報を指定して、その証明書要求を特定のファイルに保存するには、次のコマンド シ ンタクスを使用します。 $ server_certificate [<movername>] -persona -generate {[<persona_name>]|id=[<persona_id>]} -key_size [<bits>] {-cn|-common_name} [<common_name>] -ou [<org_unit>] -organization [<organization>] -location [<location>] -state [<state>] -country [<country>] -filename [<output_path>] ここで、 <movername>[= ペルソナが関連づけられている物理 Data Mover の名前。] <persona_name>[= ペルソナの名前。] <persona_id>[= ペルソナの ID。] この ID は、ペルソナの作成時に生成されます。 persona -list コマンドを使用して ID を特定できます。 <bits>[= 鍵のサイズ(2048 または 4096 ビットのいずれか)。] [<common_name>] = 一般的に使用される名前(通常、ペルソナが関連づけられている Data Mover を表すホスト名)。 この名前に特殊文字(セミコロン、スペース文字、感嘆符 など)を含める場合は、引用符で囲む必要があります。 [<org_unit>] = 組織単位の名前。 この名前に特殊文字(セミコロン、スペース文字、感嘆 符など)を含める場合は、引用符で囲む必要があります。 <organization>[= 組織の名前。] <location>[= 組織の物理的所在地。] <state>[= 組織が存在する地域。] <country>[= 組織の所在国。] <output_path>[= 生成された要求の書き込み先ファイルの名前とパス。] 㽷 -ou、-organization、-location、-state、-country の引数はオプションです。 㽷 -filename 引数は、証明書が外部の CA によって署名される場合にのみ有効です。 㽷 証明書要求は、PEM 形式でのみ生成されます。 例: 鍵セットと外部の CA によって署名される証明書の要求を生成し、Data Mover に関する 詳細情報を指定して、その証明書要求を特定のファイルに保存するには、次のように入 力します。 $ server_certificate server_2 -persona -generate default -key_size 4096 -cn ‘name;1.2.3.4’ -ou ‘my.org;my dept’ -organization EMC location Hopkinton -state MA -country US -filename /tmp/ server_2.1.request.pem 124 VNX1, VNX2 VNX のセキュリティ構成ガイド VNX for File の CLI セキュリティ構成オプション 出力: server_2 : Starting key generation. This could take a long time ... done CA への証明書要求の送信 外部の CA を使用して証明書に署名する場合、公開鍵への署名要求が公開/秘密鍵セット とともに自動的に生成されます。 その後、証明書要求を CA に送信する必要があります。 㽷 Control Station を使用して証明書に署名する場合、このタスクは不要です。 Control Station で自動的に証明書要求を受信します。 手順 1. 次のコマンド シンタクスを使用して、ペルソナのプロパティを表示して証明書要求の内容 を確認します。 $ server_certificate[<movername>]-persona -info{-all| [<persona_name>]| id=[<persona_id>]} ここで、 <movername>[= ペルソナが関連づけられている物理 Data Mover の名前。] <persona_name>[= ペルソナの名前。] <persona_id>[= ペルソナの ID。] この ID は、ペルソナの作成時に生成されます。 例: デフォルトのペルソナのプロパティ(証明書要求を含む)を表示するには、次のように入 力します。 $ server_certificate server_2 -persona -info default 出力: server_2 : id=1 name=default next state=Request Pending next certificate: request subject = CN=name;CN=1.2.3.4 request: -----BEGIN CERTIFICATE REQUEST----MIIB6TCCAVICAQYwDQYJKoZIhvcNAQEEBQAwWzELMAkGA1UEBhMCQVUxEzARBgNV BAgTClF1ZWVuc2xhbmQxGjAYBgNVBAoTEUNyeXB0U29mdCBQdHkgTHRkMRswGQYD VQQDExJUZXN0IENBICgxMDI0IGJpdCkwHhcNMDAxMDE2MjIzMTAzWhcNMDMwMTE0 MjIzMTAzWjBjMQswCQYDVQQGEwJBVTETMBEGA1UECBMKUXVlZW5zbGFuZDEaMBgG A1UEChMRQ3J5cHRTb2Z0IFB0eSBMdGQxIzAhBgNVBAMTGlNlcnZlciB0ZXN0IGNl cnQgKDUxMiBiaXQpMFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBAJ+zw4Qnlf8SMVIP Fe9GEcStgOY2Ww/dgNdhjeD8ckUJNP5VZkVDTGiXav6ooKXfX3j/7tdkuD8Ey2// Kv7+ue0CAwEAATANBgkqhkiG9w0BAQQFAAOBgQCT0grFQeZaqYb5EYfk20XixZV4 GmyAbXMftG1Eo7qGiMhYzRwGNWxEYojf5PZkYZXvSqZ/ZXHXa4g59jK/rJNnaVGM k+xIX8mxQvlV0n5O9PIha5BX5teZnkHKgL8aKKLKW1BK7YTngsfSzzaeame5iKfz itAE+OjGF+PFKbwX8Q== -----END CERTIFICATE REQUEST----- 2. 証明書要求をファイルにまだ保存していない場合は、ここで保存します(例: server_2.1.request.pem)。 3. 当該機関の Web サイトまたはメールを使用して、.pem ファイルを CA に送信します。 CA への証明書要求の送信 125 VNX for File の CLI セキュリティ構成オプション CA 署名済み証明書のインポート 署名済み証明書は、ペルソナに関連づけられている次の署名済み証明書がダウンロード 可能になったとき、インポートできます。 証明書をインポートすると、すぐにその証明書が現 在の証明書になります(日付が有効であると想定した場合)。 㽷 Control Station を使用して証明書に署名する場合、このタスクは不要です。 Control Station から署名済み証明書が自動的に Data Mover に返されます。 手順 1. CA から署名済み証明書(例:cert.pem)を取得します。 2. すべての Data Mover に対してクエリーを実行し、署名済み証明書を待機しているペル ソナを特定します。 $ server_certificate ALL -persona -list 出力: server_2 : id=1 name=default next state=Request Pending request subject = CN=name;CN=1.2.3.4 server_3 : id=1 name=default next state=Request Pending request subject = CN=test;CN=5.6.7.8 3. 証明書をインポートするペルソナを特定するには、証明書のタイトルと、next state が Request Pending のペルソナの Request Subject フィールドの値を照合します。 4. 次のコマンド シンタクスを使用して、待機中のペルソナに署名済み証明書をインポートし ます。 $ server_certificate[<movername>]-persona-import {[<persona_name>]|id=[<persona_id>]} ここで、 <movername>[= ペルソナが関連づけられている物理 Data Mover の名前。] <persona_name>[= ペルソナの名前。] <persona_id>[= ペルソナの ID。] この ID は、ペルソナの作成時に生成されます。 㽷 署名済み証明書は、DER 形式または PEM 形式のいずれかです。 コマンド プロンプトで ペーストできるのは、PEM 形式のテキストのみです。 -filename を指定してパスを入力す る場合は、DER 形式と PEM 形式のどちらの CA 署名済み証明書でもインポートできま す。 例: 署名済み証明書をインポートするには、次のように入力します。 $ server_certificate server_2 -persona -import default 126 VNX1, VNX2 VNX のセキュリティ構成ガイド VNX for File の CLI セキュリティ構成オプション 出力: server_2 : Please paste certificate data. Enter a carriage return and on the new line type ‘end of file’ or ‘eof’ followed by another carriage return. 㽷 証明書テキストを正しくペーストすると、システム プロンプトが表示されます。 5. 次のコマンド シンタクスを使用して、証明書が正常にインポートされたことを確認します。 $ server_certificate[<movername>]-persona -info{-all| [<persona_name>]| id=[<persona_id>]} ここで、 <movername>[= ペルソナが関連づけられている物理 Data Mover の名前。] <persona_name>[= ペルソナの名前。] <persona_id>[= ペルソナの ID。] この ID は、ペルソナの作成時に生成されます。 例: デフォルトのペルソナ用の証明書が正常にインポートされたことを確認するには、次のよ うに入力します。 $ server_certificate server_2 -persona -info default 出力: server_2 id=1 name=default next state=Not Available Current Certificate: id = 1 subject = CN=name;CN=1.2.3.4 issuer = O=Celerra Certificate Authority;CN=eng173100 start date = 20070606183824Z end date = 20070706183824Z serial number = 05 signature alg. = sha1WithRSAEncryption public key alg. = rsaEncryption public key size = 4096 version = 3 㽷 通常、証明書をインポートすると、すぐにその証明書が現在の鍵セットと証明書になり、 next state フィールドに Not Available と示されます。 インポートした証明書が有効では ないと(たとえば、タイム スタンプが Data Mover より数分以上進んでいる場合)、インポ ートした鍵セットと証明書は次の鍵セットと証明書として残り、鍵セットと証明書が有効に なるまで、next state フィールドに Available と示されます。 利用可能な CA 証明書の一覧表示 手順 1. 利用可能なすべての CA 証明書を表示するには、次のように入力します。 $ server_certificate ALL -ca_certificate -list 利用可能な CA 証明書の一覧表示 127 VNX for File の CLI セキュリティ構成オプション 出力: server_2 : id=1 subject=C=ZA;ST=Western Cape;L=Cape Town;O=Thawte Consulting cc;OU=Certific issuer=C=ZA;ST=Western Cape;L=Cape Town;O=Thawte Consulting cc;OU=Certifica expire=20201231235959Z id=2 subject=C=US;O=America Online Inc.;CN=America Online Root Certification Aut issuer=C=US;O=America Online Inc.;CN=America Online Root Certification Auth expire=20371119204300Z id=3 subject=C=US;ST=Massachusetts;L=Westboro;O=EMC;OU=IS;OU=Terms of use at www issuer=O=VeriSign Trust Network;OU=VeriSign, Inc.;OU=VeriSign International expire=20080620235959Z id=4 subject=C=US;O=VeriSign,Inc.;OU=Class 3 Public Primary Certification Author issuer=C=US;O=VeriSign, Inc.;OU=Class 3 Public Primary Certification Author expire=20280801235959Z CA 証明書の入手 新しい CA 証明書が必要となり、外部の CA を使用している場合は、当該機関の Web サイト または場合によっては自社のセキュリティ担当者から CA 証明書を取得できます。 Control Station を CA として使用している場合(CA がエンタープライズ レベルまたは社内にある場 合)は、CA の管理者から CA 証明書を取得できます。 または、nas_ca_certificate -display コマンドを使用して、CA 証明書のテキストを表示できます。 手順 1. Control Station の CA 証明書を表示するには、次のように入力します。 $ /nas/sbin/nas_ca_certificate -display 㽷 証明書テキストはターミナル画面に表示されます。 または、ファイルにリダイレクトするこ ともできます。 BEGIN CERTIFICATE と END CERTIFICATE で囲まれた箇所が証明書テキス トになります。 出力: Certificate: Data: Version: 3 (0x2) Serial Number: 3 (0x3) Signature Algorithm: sha1WithRSAEncryption Issuer: O=Celerra Certificate Authority, CN=eng173100 Validity Not Before: Mar 23 21:07:40 2007 GMT Not After : Mar 21 21:07:40 2012 GMT Subject: O=Celerra Certificate Authority, CN=eng173100 128 VNX1, VNX2 VNX のセキュリティ構成ガイド VNX for File の CLI セキュリティ構成オプション Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (2048 bit) Modulus (2048 bit): 00:da:b2:37:86:05:a3:73:d5:9a:04:ba:db:05:97: d2:12:fe:1a:79:06:19:eb:c7:2c:c2:51:93:7f:7a: 93:59:37:63:1e:53:b3:8d:d2:7f:f0:e3:49:42:22: f4:26:9b:b4:e4:a6:40:6d:8d:e7:ea:07:8e:ca:b7: 7e:88:71:9d:11:27:5a:e3:57:16:03:a7:ee:19:25: 07:d9:42:17:b4:eb:e6:97:61:13:54:62:03:ec:93: b7:e6:f1:7f:21:f0:71:2d:c4:8a:8f:20:d1:ab:5a: 6a:6c:f1:f6:2f:26:8c:39:32:93:93:67:bb:03:a7: 22:29:00:11:e0:a1:12:4b:02:79:fb:0f:fc:54:90: 30:65:cd:ea:e6:84:cc:91:fe:21:9c:c1:91:f3:17: 1e:44:7b:6f:23:e9:17:63:88:92:ea:80:a5:ca:38: 9a:b3:f8:08:cb:32:16:56:8b:c4:f7:54:ef:75:db: 36:7e:cf:ef:75:44:11:69:bf:7c:06:97:d1:87:ff: 5f:22:b5:ad:c3:94:a5:f8:a7:69:21:60:5a:04:5e: 00:15:04:77:47:03:ec:c5:7a:a2:bf:32:0e:4d:d8: dc:44:fa:26:39:16:84:a7:1f:11:ef:a3:37:39:a6: 35:b1:e9:a8:aa:a8:4a:72:8a:b8:c4:bf:04:70:12: b3:31 Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Subject Key Identifier: 35:06:F2:FE:CC:21:4B:92:DA:74:C9:47:CE:BB:37:21:5E: 04:E2:E6 X509v3 Authority Key Identifier: keyid:35:06:F2:FE:CC:21:4B:92:DA:74:C9:47:CE:BB:37:21:5E:04:E2:E6 DirName:/O=Celerra Certificate Authority/CN=eng173100 serial:00 X509v3 Basic Constraints: CA:TRUE X509v3 Subject Alternative Name: DNS:eng173100 Signature Algorithm: sha1WithRSAEncryption 09:c3:13:26:16:be:44:56:82:5d:0e:63:07:19:28:f3:6a:c4: f3:bf:93:25:85:c3:55:48:4e:07:84:1d:ea:18:cf:8b:b8:2d: 54:13:25:2f:c9:75:c1:28:39:88:91:04:df:47:2c:c0:8f:a4: ba:a6:cd:aa:59:8a:33:7d:55:29:aa:23:59:ab:be:1d:57:f6: 20:e7:2b:68:98:f2:5d:ed:58:31:d5:62:85:5d:6a:3f:6d:2b: 2d:f3:41:be:97:3f:cf:05:8b:7e:f5:d7:e8:7c:66:b2:ea:ed: 58:d4:f0:1c:91:d8:80:af:3c:ff:14:b6:e7:51:73:bb:64:84: 26:95:67:c6:60:32:67:c1:f7:66:f4:79:b5:5d:32:33:3c:00: 8c:75:7d:02:06:d3:1a:4e:18:0b:86:78:24:37:18:20:31:61: 59:dd:78:1f:88:f8:38:a0:f4:25:2e:c8:85:4f:ce:8a:88:f4: 4f:12:7e:ee:84:52:b4:91:fe:ff:07:6c:32:ca:41:d0:a6:c0: 9d:8f:cc:e8:74:ee:ab:f3:a5:b9:ad:bb:d7:79:67:89:34:52: b4:6b:39:db:83:27:43:84:c3:c3:ca:cd:b2:0c:1d:f5:20:de: 7a:dc:f0:1f:fc:70:5b:71:bf:e3:14:31:4c:7e:eb:b5:11:9c: 96:bf:fe:6f -----BEGIN CERTIFICATE----MIIDoDCCAoigAwIBAgIBAzANBgkqhkiG9w0BAQUFADA8MSYwJAYDVQQKEx1DZWxl cnJhIENlcnRpZmljYXRlIEF1dGhvcml0eTESMBAGA1UEAxMJZW5nMTczMTAwMB4X DTA3MDMyMzIxMDc0MFoXDTEyMDMyMTIxMDc0MFowPDEmMCQGA1UEChMdQ2VsZXJy YSBDZXJ0aWZpY2F0ZSBBdXRob3JpdHkxEjAQBgNVBAMTCWVuZzE3MzEwMDCCASIw DQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBANqyN4YFo3PVmgS62wWX0hL+GnkG GevHLMJRk396k1k3Yx5Ts43Sf/DjSUIi9CabtOSmQG2N5+oHjsq3fohxnREnWuNX FgOn7hklB9lCF7Tr5pdhE1RiA+yTt+bxfyHwcS3Eio8g0ataamzx9i8mjDkyk5Nn uwOnIikAEeChEksCefsP/FSQMGXN6uaEzJH+IZzBkfMXHkR7byPpF2OIkuqApco4 mrP4CMsyFlaLxPdU73XbNn7P73VEEWm/fAaX0Yf/XyK1rcOUpfinaSFgWgReABUE d0cD7MV6or8yDk3Y3ET6JjkWhKcfEe+jNzmmNbHpqKqoSnKKuMS/BHASszECAwEA AaOBrDCBqTAdBgNVHQ4EFgQUNQby/swhS5LadMlHzrs3IV4E4uYwZAYDVR0jBF0w W4AUNQby/swhS5LadMlHzrs3IV4E4uahQKQ+MDwxJjAkBgNVBAoTHUNlbGVycmEg Q2VydGlmaWNhdGUgQXV0aG9yaXR5MRIwEAYDVQQDEwllbmcxNzMxMDCCAQAwDAYD VR0TBAUwAwEB/zAUBgNVHREEDTALggllbmcxNzMxMDAwDQYJKoZIhvcNAQEFBQAD ggEBAAnDEyYWvkRWgl0OYwcZKPNqxPO/kyWFw1VITgeEHeoYz4u4LVQTJS/JdcEo CA 証明書の入手 129 VNX for File の CLI セキュリティ構成オプション OYiRBN9HLMCPpLqmzapZijN9VSmqI1mrvh1X9iDnK2iY8l3tWDHVYoVdaj9tKy3z Qb6XP88Fi3711+h8ZrLq7VjU8ByR2ICvPP8UtudRc7tkhCaVZ8ZgMmfB92b0ebVd MjM8AIx1fQIG0xpOGAuGeCQ3GCAxYVndeB+I+Dig9CUuyIVPzoqI9E8Sfu6EUrSR /v8HbDLKQdCmwJ2PzOh07qvzpbmtu9d5Z4k0UrRrOduDJ0OEw8PKzbIMHfUg3nrc 8B/8cFtxv+MUMUx+67URnJa//m8= -----END CERTIFICATE----- CA 証明書のインポート CA 証明書を Data Mover に認識させるには、その証明書をインポートする必要があります。 パスを指定してファイルをインポートするか、対応するテキストをカット アンド ペーストしま す。 手順 1. CA 証明書をインポートするには、次のコマンド シンタクスを使用します。 $ server_certificate [<movername>] -ca_certificate -import [-filename[<path>]] ここで、 <movername>[= CA 証明書が関連づけられている物理 Data Mover の名前] <path>[= インポート対象のファイルの場所] 㽷 CA 証明書は、DER 形式または PEM 形式のいずれかです。 コマンド プロンプトでペース トできるのは、PEM 形式のテキストのみです。 -filename を指定してパスを入力する場 合は、DER 形式と PEM 形式のどちらの CA 証明書でもインポートできます。 例: CA 証明書をインポートするには、次のように入力します。 $ server_certificate server_2 -ca_certificate -import 出力: server_2 : Please paste certificate data. Enter a carriage return and on the new line type ‘end of file’ or ‘eof’ followed by another carriage return. 2. 証明書テキストを正しくペーストすると、システム プロンプトが表示されます。 新しい Control Station CA 証明書の生成 㽷 このタスクは、CA 鍵セットの信頼性が低くなったか、または CA 証明書の有効期限が切れた 場合にのみ必要です。 最初の Control Station CA 証明書は、VNX for File ソフトウェアのイ ンストール時またはアップグレード時に生成されます。 このコマンドを発行するには、root ユーザーである必要があります。 手順 1. Control Station の新しい鍵セットと証明書を生成するには、次のように入力します。 # /nas/sbin/nas_ca_certificate -generate 130 VNX1, VNX2 VNX のセキュリティ構成ガイド VNX for File の CLI セキュリティ構成オプション 㽷 デフォルトでは、この証明書は生成日から 5 年間有効で、証明書の名前は Control Station のホスト名になります。 出力: New keys and certificate were successfully generated. 証明書の表示 Control Station CA 証明書のテキストを表示し、それをコピーしてネットワーク クライアントに 配布できるようにします。 手順 1. Control Station の CA 証明書を表示するには、次のように入力します。 $ /nas/sbin/nas_ca_certificate -display 㽷 証明書テキストはターミナル画面に表示されます。 または、ファイルにリダイレクトするこ ともできます。 出力: Certificate: Data: Version: 3 (0x2) Serial Number: 3 (0x3) Signature Algorithm: sha1WithRSAEncryption Issuer: O=Celerra Certificate Authority, CN=eng173100 Validity Not Before: Mar 23 21:07:40 2007 GMT Not After : Mar 21 21:07:40 2012 GMT Subject: O=Celerra Certificate Authority, CN=eng173100 Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (2048 bit) Modulus (2048 bit): 00:da:b2:37:86:05:a3:73:d5:9a:04:ba:db:05:97: d2:12:fe:1a:79:06:19:eb:c7:2c:c2:51:93:7f:7a: 93:59:37:63:1e:53:b3:8d:d2:7f:f0:e3:49:42:22: f4:26:9b:b4:e4:a6:40:6d:8d:e7:ea:07:8e:ca:b7: 7e:88:71:9d:11:27:5a:e3:57:16:03:a7:ee:19:25: 07:d9:42:17:b4:eb:e6:97:61:13:54:62:03:ec:93: b7:e6:f1:7f:21:f0:71:2d:c4:8a:8f:20:d1:ab:5a: 6a:6c:f1:f6:2f:26:8c:39:32:93:93:67:bb:03:a7: 22:29:00:11:e0:a1:12:4b:02:79:fb:0f:fc:54:90: 30:65:cd:ea:e6:84:cc:91:fe:21:9c:c1:91:f3:17: 1e:44:7b:6f:23:e9:17:63:88:92:ea:80:a5:ca:38: 9a:b3:f8:08:cb:32:16:56:8b:c4:f7:54:ef:75:db: 36:7e:cf:ef:75:44:11:69:bf:7c:06:97:d1:87:ff: 5f:22:b5:ad:c3:94:a5:f8:a7:69:21:60:5a:04:5e: 00:15:04:77:47:03:ec:c5:7a:a2:bf:32:0e:4d:d8: dc:44:fa:26:39:16:84:a7:1f:11:ef:a3:37:39:a6: 35:b1:e9:a8:aa:a8:4a:72:8a:b8:c4:bf:04:70:12: b3:31 Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Subject Key Identifier: 35:06:F2:FE:CC:21:4B:92:DA:74:C9:47:CE:BB:37:21:5E: 04:E2:E6 証明書の表示 131 VNX for File の CLI セキュリティ構成オプション X509v3 Authority Key Identifier: keyid:35:06:F2:FE:CC:21:4B:92:DA:74:C9:47:CE:BB:37:21:5E:04:E2:E6 DirName:/O=Celerra Certificate Authority/CN=eng173100 serial:00 X509v3 Basic Constraints: CA:TRUE X509v3 Subject Alternative Name: DNS:eng173100 Signature Algorithm: sha1WithRSAEncryption 09:c3:13:26:16:be:44:56:82:5d:0e:63:07:19:28:f3:6a:c4: f3:bf:93:25:85:c3:55:48:4e:07:84:1d:ea:18:cf:8b:b8:2d: 54:13:25:2f:c9:75:c1:28:39:88:91:04:df:47:2c:c0:8f:a4: ba:a6:cd:aa:59:8a:33:7d:55:29:aa:23:59:ab:be:1d:57:f6: 20:e7:2b:68:98:f2:5d:ed:58:31:d5:62:85:5d:6a:3f:6d:2b: 2d:f3:41:be:97:3f:cf:05:8b:7e:f5:d7:e8:7c:66:b2:ea:ed: 58:d4:f0:1c:91:d8:80:af:3c:ff:14:b6:e7:51:73:bb:64:84: 26:95:67:c6:60:32:67:c1:f7:66:f4:79:b5:5d:32:33:3c:00: 8c:75:7d:02:06:d3:1a:4e:18:0b:86:78:24:37:18:20:31:61: 59:dd:78:1f:88:f8:38:a0:f4:25:2e:c8:85:4f:ce:8a:88:f4: 4f:12:7e:ee:84:52:b4:91:fe:ff:07:6c:32:ca:41:d0:a6:c0: 9d:8f:cc:e8:74:ee:ab:f3:a5:b9:ad:bb:d7:79:67:89:34:52: b4:6b:39:db:83:27:43:84:c3:c3:ca:cd:b2:0c:1d:f5:20:de: 7a:dc:f0:1f:fc:70:5b:71:bf:e3:14:31:4c:7e:eb:b5:11:9c: 96:bf:fe:6f -----BEGIN CERTIFICATE----MIIDoDCCAoigAwIBAgIBAzANBgkqhkiG9w0BAQUFADA8MSYwJAYDVQQKEx1DZWxl cnJhIENlcnRpZmljYXRlIEF1dGhvcml0eTESMBAGA1UEAxMJZW5nMTczMTAwMB4X DTA3MDMyMzIxMDc0MFoXDTEyMDMyMTIxMDc0MFowPDEmMCQGA1UEChMdQ2VsZXJy YSBDZXJ0aWZpY2F0ZSBBdXRob3JpdHkxEjAQBgNVBAMTCWVuZzE3MzEwMDCCASIw DQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBANqyN4YFo3PVmgS62wWX0hL+GnkG GevHLMJRk396k1k3Yx5Ts43Sf/DjSUIi9CabtOSmQG2N5+oHjsq3fohxnREnWuNX FgOn7hklB9lCF7Tr5pdhE1RiA+yTt+bxfyHwcS3Eio8g0ataamzx9i8mjDkyk5Nn uwOnIikAEeChEksCefsP/FSQMGXN6uaEzJH+IZzBkfMXHkR7byPpF2OIkuqApco4 mrP4CMsyFlaLxPdU73XbNn7P73VEEWm/fAaX0Yf/XyK1rcOUpfinaSFgWgReABUE d0cD7MV6or8yDk3Y3ET6JjkWhKcfEe+jNzmmNbHpqKqoSnKKuMS/BHASszECAwEA AaOBrDCBqTAdBgNVHQ4EFgQUNQby/swhS5LadMlHzrs3IV4E4uYwZAYDVR0jBF0w W4AUNQby/swhS5LadMlHzrs3IV4E4uahQKQ+MDwxJjAkBgNVBAoTHUNlbGVycmEg Q2VydGlmaWNhdGUgQXV0aG9yaXR5MRIwEAYDVQQDEwllbmcxNzMxMDCCAQAwDAYD VR0TBAUwAwEB/zAUBgNVHREEDTALggllbmcxNzMxMDAwDQYJKoZIhvcNAQEFBQAD ggEBAAnDEyYWvkRWgl0OYwcZKPNqxPO/kyWFw1VITgeEHeoYz4u4LVQTJS/JdcEo OYiRBN9HLMCPpLqmzapZijN9VSmqI1mrvh1X9iDnK2iY8l3tWDHVYoVdaj9tKy3z Qb6XP88Fi3711+h8ZrLq7VjU8ByR2ICvPP8UtudRc7tkhCaVZ8ZgMmfB92b0ebVd MjM8AIx1fQIG0xpOGAuGeCQ3GCAxYVndeB+I+Dig9CUuyIVPzoqI9E8Sfu6EUrSR /v8HbDLKQdCmwJ2PzOh07qvzpbmtu9d5Z4k0UrRrOduDJ0OEw8PKzbIMHfUg3nrc 8B/8cFtxv+MUMUx+67URnJa//m8= -----END CERTIFICATE----- Control Station CA 証明書の配布 Control Station の CA 証明書がネットワーク クライアントによりインポートされ、Data Mover から送信されるこの Control Station による署名済みの証明書が認識されるように、Control Station の CA 証明書を使用できるようにする必要があります。 1. Control Station CA 証明書のテキストをファイル(例:cs_ca_cert.crt)に保存します。 2. この.crt ファイルをネットワーク クライアントが適切なメカニズム(FTP またはメール)を介 して利用できるようにします。 3. 新しい鍵セットと証明書要求を再生成し、署名済み証明書を、Control Station によって 証明書が署名される任意のペルソナ用にインポートします。 この手順についてはペル ソナによって提供される証明書の作成(121 ページ)を参照してください。 4. Data Mover を別の Data Mover に対するクライアントとして使用している場合は、該当 する Data Mover に新しい CA 証明書をインポートします。 この手順については CA 証明 書の取得(122 ページ)を参照してください。 132 VNX1, VNX2 VNX のセキュリティ構成ガイド VNX for File の CLI セキュリティ構成オプション お客様提供の Control Station 用証明書の要求とインストール Control Station では、デフォルトで 1024 ビットの暗号化された証明書鍵が利用されます。 2048 ビットの暗号化された証明書鍵は、より高いレベルのセキュリティを考慮する場合に 使用されます。 次の例を使用して、2 台の Control Station を備えた VNX システムで 2048 ビットの暗号化されたカスタム証明書を要求してインストールすることができます。 ユーザー root として次のコマンドを実行する必要があります。 手順 1. 新しい 2048 ビットの暗号化された鍵を作成します。 /usr/bin/openssl genrsa -out /nas/http/conf/ssl.key/ ssl_2048_key 2048 2. ユーザー root がキー ファイルを所有し、権限が 600(-rw-------)に設定されていることを 確認します。 chown root:root [<filename>] chmod 600 [<filename>] 3. 現在のキーから新しいキーへのシンボリック リンクを更新します。 rm -f /nas/http/conf/current.key ln -s /nas/http/conf/ssl.key/ssl_2048_key /nas/http/conf/ current.key 4. 環境変数を設定します。 export IP_ADDR=`/bin/hostname -i` export HOSTNAME_SHORT=`/bin/hostname -s` export HOSTNAME_LONG=`/bin/hostname -f` 5. 新しい 2048 ビットの暗号化された鍵および環境変数を使用して証明書要求を作成しま す。 /usr/bin/openssl req -new -key /nas/http/conf/current.key config /nas/http/conf/celerrassl.cnf -out /home/nasadmin/ cert_request 出力(ファイルでの cat コマンドの実行に基づく): -----BEGIN CERTIFICATE REQUEST----MIICzTCCAbUCAQAwgYcxKjAoBgNVBAoTIVZOWCBDb250cm9sIFN0YXRpb24gQWRt aW5pc3RyYXRvcjEXMBUGA1UEAxMOMTAuMTA4LjEyNS4xMDgxFzAVBgNVBAMTDmZp bGVzaW04MTYyY3MwMScwJQYDVQQDEx5maWxlc2ltODE2MmNzMC5kcm0ubGFiLmVt Yy5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDJSXomphOnn8cg PxL/YHUzWF8IDyp8Teee3zdvYa5sScsp76eO9oxKKb6/B+ihYSgctSApF2d5ciO+ P3Oe0HtU+YrVcjxbMT9I004PSDFJBum7Fhw/byvbrBVxNjOmjAt+8Wbdbi/3gIOv bSUG1j/x8UuBwMuy/C6K8Ojiz3OoatQkgn6qmqLN8S4CL/SD2eqD0sikvaubvVSX gA85V4fH95ZpshptKRx4e+0hLkIOdDVnn69u/Jdz2lFZ8XPp4CTv66FP/GOzWowB iPBLxNfs6PLWNhR4u/X1K2Wtb+cTVmjUGsJEPel2flzf3GmQtGChHAU1f5+mR08Q jRX0ACnFAgMBAAGgADANBgkqhkiG9w0BAQUFAAOCAQEAl7IMNtFCLRaWbLv5mdkI 6/mkHkwutkZJlMDgw4p1I86uJOZH6OHQsZRRM6ZfF42e+4cdz6qUmZKDmiHyiqPo Gh/DgYwIBNh3BVuPNdM/of4n4/ZZVcWmmQj84arjogfHnfeUV6uTWSWv82HvVEc6 tyk9vYQ/MaOgvJ5c75KCpD+nmxDskVL97BuaondVKfCUR/ZT6q2N5pmlmPV6k7Jw g457pbBcYjaOqR3O6l8Fk4E5DgDwBAIfOmsCetqPklc+Dz7Fc3BLMbjqVhsC7gbh 0a40Kn2sjEasenqpuoV7QNeawSTW4zCpFuD1H0i0vd+ZxyZy6z30ynMt5kLphMwb お客様提供の Control Station 用証明書の要求とインストール 133 VNX for File の CLI セキュリティ構成オプション lA== -----END CERTIFICATE REQUEST----- 6. ファイル cert_request からローカルの認証局に BEGIN CERTIFICATE REQUEST と END CERTIFICATE REQUEST で囲まれた証明書テキストを送信しま す。 cat /home/nasadmin/cert_request 7. 受け取った CA 署名済み証明書を、Control Station、CS0 および CS1 の両方で同じ場所 (たとえば、/etc/httpd/conf)にアップロードまたはインストールします。 [root@virgil conf]# ll /etc/httpd/conf/virgil* -rw-r--r-- 1 root root 1904 Dec 19 13:42 /etc/httpd/conf/ virgil.cer -rw-r--r-- 1 root root 887 Dec 19 13:36 /etc/httpd/conf/ virgil.key これは、base-64 でエンコードされた PEM 証明書でなければなりません。 さらに、公開 証明書をユーザー root が所有し、権限が 644(-rw-r--r--)に設定されていることを確認し ます。 chown root:root [<filename>] chmod 644 [<filename>] 8. /nas/http/conf/httpd.conf の下で Apache 構成ファイルを構成します。 /nas/http/conf/httpd.conf で[SSLCertificateFile]と[SSLCertificateKeyFile]を変 更して、カスタム証明書をロードします。 /etc/httpd/conf/xxx.crt と xxx.key など、カスタム crt ファイルとキー ファイルをポイントするように設定します。 [root@virgil conf]# grep ^SSLCe /nas/http/conf/httpd.conf SSLCertificateFile /etc/httpd/conf/virgil.cer SSLCertificateFile /etc/httpd/conf/virgil.cer 9. 2 台の Control Station を備えたシステムの場合、手順 8 のファイルをプライマリからセ カンダリの Control Station にコピーします。 [root@virgil /]# cd /etc/httpd/conf [root@virgil conf]# scp virgil* emcnasotherIPMICS_i3:/etc/ httpd/conf EMC VNX Control Station Linux release 3.0 (NAS 7.0.50) root@emcnasotheripmics_i3's password: virgil.cer 100% 1904 1.9KB/s 00:00 virgil.key 100% 887 0.9KB/s 00:00 10. セカンダリ Control Station で、ローカル NAS パーティションをマウント ポイントにマウン トし、httpd.conf ファイルを編集して、プライマリ上と同じ SSLCertificateFile/ SSLCertificateKeyFile ペアを指定します [root@virgilcs1 /]# mount /dev/hda5 /mnt/source/ [root@virgilcs1 /]# vi /mnt/source/http/conf/httpd.conf [root@virgilcs1 /]# grep ^SSLCe /mnt/source/http/conf/ httpd.conf 134 VNX1, VNX2 VNX のセキュリティ構成ガイド VNX for File の CLI セキュリティ構成オプション SSLCertificateFile /etc/httpd/conf/virgil.cer SSLCertificateKeyFile /etc/httpd/conf/virgil.key [root@virgilcs1 conf]# ll /etc/httpd/conf total 60 -rw-r--r-- 1 root root 33726 Jul 26 2011 httpd.conf -rw-r--r-- 1 root root 12958 Jul 26 2011 magic -rw-r--r-- 1 root root 1904 Jan 9 19:20 virgil.cer -rw-r--r-- 1 root root 887 Jan 9 19:20 virgil.key [root@virgilcs1 /]# umount /mnt/source/ 11. プライマリ Control Station 上で Apache を再起動します(Apache のプロセス ID を見つ けてそのプロセスを終了します)。 次の例を参照してください。 cat /nas/http/logs/start_apache.pid 3224 kill -9 3224 㽷 新しい証明書に関して何らかの問題が発生した場合は、次のコマンドを実行して新しい Control Station CA 証明書を生成し、標準の自己署名証明書に戻します。 /nas/ sbin/nas_ca_certificate –generate 㽷 これらの指示は、自己提供の証明書を使用する必要がある VNX ユーザーのために用 意されています。 以下に記す潜在的な問題の他に、予測される問題はありません。 l サーバーとキー ファイルが/nas/httpd/conf/ディレクトリに保存されていない場 合は、Control Station フェイルオーバーの後で、使用できなくなる場合があります。 l サーバーを識別するために使用し、証明書に追加する情報を管理する責任は、ユー ザーのみが負います。 PKI の管理 この機能の概要については公開鍵基盤のプランニングに関する考慮事項(62 ページ)を参 照してください。 ペルソナの鍵セットと証明書を管理する場合のタスクは次のとおりです。 l 鍵セットと証明書のプロパティの表示(136 ページ) l 期限切れの鍵セットのチェック(136 ページ) l 鍵セットのクリア(137 ページ) CA 証明書を管理する場合のタスクは次のとおりです。 l CA 証明書のプロパティの表示(137 ページ) l 期限切れの CA 証明書のチェック(138 ページ) PKI の管理 135 VNX for File の CLI セキュリティ構成オプション l CA 証明書の削除(138 ページ) 鍵セットと証明書のプロパティの表示 手順 1. 鍵セットと証明書のプロパティを表示するには、次のコマンド シンタクスを使用します。 $ server_certificate[<movername>]-persona -info{-all| [<persona_name>]| id=[<persona_id>]} ここで、 <movername>[= ペルソナが関連づけられている物理 Data Mover の名前。] <persona_name>[= ペルソナの名前。] <persona_id>[= ペルソナの ID。] この ID は、ペルソナの作成時に生成されます。 例: default という名前のペルソナの鍵セットと証明書を表示するには、次のように入力しま す。 $ server_certificate server_2 -persona -info default 出力: server_2 : id=1 name=default next state=Not Available CURRENT CERTIFICATE: id = 1 subject = CN=test;CN=1.2.3.4 issuer = O=Celerra Certificate Authority;CN=eng173100 start date = 20070606183824Z end date = 20070706183824Z serial number = 05 signature alg. = sha1WithRSAEncryption public key alg. = rsaEncryption version = 3 public key size = 4096 期限切れの鍵セットのチェック 期限切れの鍵セットと証明書を自動的にチェックする方法はありません。 代わりに、ペルソ ナを一覧表示して、各ペルソナに関連づけられた証明書の有効期限を調べて、証明書の期 限切れをチェックする必要があります。 手順 1. 現在利用可能なすべての鍵セットと証明書を一覧表示するには、次のように入力しま す。 $ server_certificate ALL -persona -list 出力: server_2 : id=1 name=default next state=Request Pending request subject=CN=name;CN=1.2.3.4 server_3 : id=1 136 VNX1, VNX2 VNX のセキュリティ構成ガイド VNX for File の CLI セキュリティ構成オプション name=default next state=Not Available CURRENT CERTIFICATE: id=1 subject=CN=test;CN=1.2.3.4 expire=20070608183824Z issuer=O=Celerra Certificate Authority;CN=eng173100 2. 現在の証明書の有効期限は、expire フィールドに示されます。 20070608183824Z は、 2007 年 6 月 8 日(金)18:38:24(GMT)を意味しています。 鍵セットのクリア 鍵セットの有効期限が切れた場合、サービスが今後不要になった場合、または証明書要求 が満たされない場合、鍵セットをクリアする必要があります。 ペルソナの現在の鍵セットと証 明書、次の鍵セットと証明書、またはその両方をクリアできます。 手順 1. 鍵セットとそれに対応する証明書をクリアするには、次のコマンド シンタクスを使用しま す。 $ server_certificate [<movername>] -persona -clear {[<persona_name>]|id=[<persona_id>]} {-next|-current| -both} ここで、 <movername>[= ペルソナが関連づけられている物理 Data Mover に割り当てられた名前。] <persona_name>[= ペルソナの名前。] <persona_id>[= ペルソナの ID。] この ID は、ペルソナの作成時に生成されます。 例: server_2 にあるペルソナについて、現在と次の両方の鍵セットと証明書をクリアするに は、次のように入力します。 $ server_certificate server_2 -persona -clear default -both 出力: server_2 : done CA 証明書のプロパティの表示 手順 1. CA 証明書のプロパティを表示するには、次のコマンド シンタクスを使用します。 $ server_certificate[<movername>]-ca_certificate -info{-all| [<certificate_id>]} ここで、 <movername>[= CA 証明書が関連づけられている物理 Data Mover の名前。] <certificate_id>[= 証明書の ID。] 㽷 Data Mover で利用可能なすべての CA 証明書のプロパティを表示するには、-all オプシ ョンを使用します。 例: 鍵セットのクリア 137 VNX for File の CLI セキュリティ構成オプション 証明書 ID 2 で識別される CA 証明書のプロパティを表示するには、次のように入力しま す。 $ server_certificate server_2 -ca_certificate -info 2 出力: server_2 : id=2 subject = C=US;O=VeriSign, Inc.;OU=Class 3 Public Primary Certification Authority issuer = C=US;O=VeriSign, Inc.;OU=Class 3 Public Primary Certification Authority start = 19960129000000Z expire = 20280801235959Z signature alg. = md2WithRSAEncryption public key alg. = rsaEncryption public key size = 2048 bits serial number = 70ba e41d 10d9 2934 b638 ca7b 03cc babf version = 1 期限切れの CA 証明書のチェック 期限切れの CA 証明書を自動的にチェックする方法はありません。 代わりに、CA 証明書を 一覧表示して有効期限を確認することで、証明書の期限切れをチェックする必要がありま す。 手順 1. 現在利用可能なすべての CA 証明書を一覧表示するには、次のように入力します。 $ server_certificate ALL -ca_certificate -list 出力: server_2 : id=1 subject=O=Celerra Certificate Authority;CN=sorento issuer=O=Celerra Certificate Authority;CN=sorento expire=20120318032639Z id=2 subject=C=US;O=VeriSign, Inc.;OU=Class 3 Public Primary Certification Author issuer=C=US;O=VeriSign, Inc.;OU=Class 3 Public Primary Certification Author expire=20280801235959Z server_3 : id=1 subject=O=Celerra Certificate Authority;CN=zeus-cs issuer=O=Celerra Certificate Authority;CN=zeus-cs expire=20120606181215Z 2. 証明書の有効期限は、expire フィールドに示されます。 20120318032639Z は、2012 年 3 月 18 日 03:26:39(GMT)を意味しています。 CA 証明書の削除 CA 証明書の有効期限が切れた場合、CA 証明書の信頼性が低くなった場合、または CA 証 明書が今後サーバーの認証で不要になった場合、CA 証明書を削除する必要があります。 手順 1. CA 証明書を削除するには、次のコマンド シンタクスを使用します。 138 VNX1, VNX2 VNX のセキュリティ構成ガイド VNX for File の CLI セキュリティ構成オプション $ server_certificate [<movername>] -ca_certificate -delete {-all|[<certificate_id>]} ここで、 <movername>[= CA 証明書が関連づけられている物理 Data Mover の名前。] <certificate_id>[= 証明書の ID。] ID を特定するには、-ca_certificate -list コ マンドを使用します。 㽷 Data Mover で利用可能なすべての CA 証明書を削除するには、-all オプションを使用し ます。 例: server_2 にある CA 証明書の ID 番号で識別される CA 証明書を削除するには、次のよ うに入力します。 $ server_certificate server_2 -ca_certificate -delete 1 出力: server_2 : done ログイン バナーのカスタマイズ /etc/issue ファイルには、ログイン プロンプトの前に表示されるログイン バナー メッセージ またはシステム ID が含まれています。 ログイン バナーは任意の情報提供用に使用できま すが、大半の場合はユーザーにシステムの不正な使用または不適切な使用について警告 するために使用します。 1. ユーザー名とパスワードを入力して CLI にログインします。 /etc/issue ファイルにアクセ スするには、root 権限が必要です。 2. vi または別のテキスト エディタを使用して、/etc/issue ファイルを編集します。 EMC では、バナー メッセージの末尾に特別なキャリッジ リターンを追加することを推奨 しています。 スペース、タブ、キャリッジ リターンを使用して、メッセージの形式を整えます。 一般的 に、メッセージのサイズは 1 画面に収まるようにする必要があります。 㽷 ログイン バナーはログイン プロンプトとともに表示されるため、バナー メッセージには機 密情報を含めないでください。 3. CLI または Unisphere にログインしてログイン バナーを表示し、変更を確認します。 㽷 また、[システム(システム管理タスク)] > [Control Station のプロパティ]を使用してログイ ン バナーをカスタマイズすることもできます。 [ログイン バナー]フィールドにアクセスするに は、root 権限が必要です。 「VNX リリース ノート」には、Unisphere に root としてログインする 方法が説明してあります。 MOTD の作成 ユーザーが正常にログインすると、今日のメッセージ(MOTD、/etc/motd ファイル)が表示さ れます。今日のメッセージは情報提供用に任意で使用できますが、すべてのユーザーに影 ログイン バナーのカスタマイズ 139 VNX for File の CLI セキュリティ構成オプション 響のあるメッセージを送信する場合に特に便利です。 このメッセージには、サーバーのアッ プグレードに関する情報や今後のシステム シャットダウンに関するアラートを含めることが できます。 デフォルトでは、このファイルは空です。 1. ユーザー名とパスワードを入力して CLI にログインします。 /etc/motd ファイルにアクセ スするには、root 権限が必要です。 2. vi または別のテキスト エディタを使用して、/etc/motd ファイルを編集します。 EMC では、バナー メッセージの末尾に特別なキャリッジ リターンを追加することを推奨 しています。 スペース、タブ、キャリッジ リターンを使用して、メッセージの形式を整えます。 一般的 に、メッセージのサイズは 1 画面に収まるようにする必要があります。 3. CLI または Unisphere にログインして MOTD を表示し、変更を確認します。 㽷 また、[システム(システム管理タスク)] > [Control Station のプロパティ]を使用して MOTD をカスタマイズすることもできます。 [今日のメッセージ]フィールドにアクセスするには、root 権限が必要です。 匿名 root ログインの制限 匿名 root ログインという用語は、直接的なログインを root ユーザーに許可することを表す 場合に使用します。 匿名 root ログインが制限されている場合、root 権限を取得するには、 最初に別のユーザー(たとえば、nasadmin)としてログインしてから、su を実行して root に なる必要があります。 シリアル コンソールと SSH で匿名 root ログインを制限すると、システ ム セキュリティが強化されます。 手順 1. ユーザー名とパスワードを入力して CLI にログインします。 /etc/securetty および/etc/ssh/sshd_config ファイルにアクセスするには、root 権限が 必要です。 2. vi または別のテキスト エディターを使用して、/etc/securetty ファイルを編集します。 シリアル コンソールで匿名 root ログインを制限するには、ttyS1 エントリーを削除しま す。 3. vi または別のテキスト エディターを使用して、/etc/ssh/sshd_config ファイルを編集しま す。 a. PermitRootLogin パラメーターのコメント解除を行って、SSH を使用した匿名 root ロ グインを制限するように値を no に設定します。 b. SSH デーモンを再起動して、構成ファイルを改めて読み込みます。 たとえば、次のコマンドを実行します。 /etc/init.d/sshd restart 必要条件 VNX OE for File アップグレードを完了するには、SSH を使用した匿名 root アクセスが必要で す。 PermitRootLogin パラメーターの値を yes に戻して、アップグレードを開始する前に SSH デーモンを再起動します。 140 VNX1, VNX2 VNX のセキュリティ構成ガイド VNX for File の CLI セキュリティ構成オプション ログインの失敗回数が指定した回数を超えた場合にアカウントをロ ックする pam_tally モジュールを使用すると、指定した回数以上ログインに失敗した場合にユーザー アカウントをロックすることで、システムのセキュリティを向上させることができます。 指定し た回数以上のログインの失敗があった場合にユーザー アカウントをロックし、所定の時間 が経過後にアカウントを自動的にロック解除するには、次の処理手順に従います。 US DOD の STIG(Security Technical Implementation Guide)構成を実装する必要がある場合は、こ の処理手順を使用しないでください。 STIG 構成の実装に関する詳細については、「「EMC VNX Using nas_stig Utility on VNX Technical Notes P/N 300-013-819」」を参照してください。 手順 1. pam_tally を有効化するには、 /etc/pam.d/system-auth ファイルの指定の場所 に 2 行追加する必要があります。 ユーザーのログインを<n>回までに制限し、<m>秒後に アカウントをロック解除する場合は、次の行を追加します。auth required pam_tally.so per_user deny=<n> unlock_time=<m> onerr=fail(auth required pam_env.so の後)、account required pam_tally.so(account required pam_unix.so の後) 結果 ログイン回数の制限を 3 回にし、アカウントのロック解除時間を 1 時間に設定する場合は、 変更後のファイル /etc/pam.d/system-auth は以下のようになります。 auth required pam_env.so auth required pam_tally.so per_user deny=3 unlock_time=3600 onerr=fail auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 500 quiet auth required pam_deny.so account account account account required pam_unix.so required pam_tally.so sufficient pam_succeed_if.so uid < 500 quiet required pam_permit.so password requisite pam_cracklib.so retry=3 lcredit=-0 dcredit=-1 minlen=8 difok=3 ucredit=-0 ocredit=-0 password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok password required pam_deny.so session optional pam_keyinit.so revoke session required pam_limits.so session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid session required pam_unix.so ログインの失敗回数が指定した回数を超えた場合にアカウントをロックする 141 VNX for File の CLI セキュリティ構成オプション 142 VNX1, VNX2 VNX のセキュリティ構成ガイド 索引 A Active Directory 接続 100 ユーザーとグループ アカウント 100 Active Directory ユーザーとコンピューター、以下を参照して ください。 ADUC ADH 暗号スイート 94 admhost 16, 34 admsnap 16 admsnap 34 ADUC 100 B block CLI ネットワーク ポート 34 Block の CLI 認証 18 C CA 証明書 63 CA 証明書 一覧表示 138 インポート 130 削除 138 取得 122 生成 130 入手 128 配布 132 表示 131 CA 証明書の取得 63 Challenge Handshake Authentication Protocol、以下を参 照してください。 CHAP CHAP 22 CHAP の構成 22 CIFS Kerberos 26 CIFS、アクセス ポリシー 27 CLI FIPS 140-2 モードを管理するコマンド 87 Unisphere Management Suite コンポーネント 10 Control Station CA として 62 PKI 証明書 60 鍵セットと証明書 63 ネットワーク サービスの管理 36 ネットワーク ポート 37, 52 Control Station、管理アクティビティの監査 31 cookies 26 D Data Mover ネットワーク サービスの管理 36 ネットワーク ポート 37, 41 DataMover 鍵と証明書 62 証明書要求の署名 63 ペルソナ 62 DER(Distinguished Encoding Rules) 62 E EMC Secure Remote Gateway 81 EMC Secure Remote Support IP Client、以下を参照してくだ さい。 ESRS IP Client EMCRemote、モデムベースのアクセス 82 ESRS IP Client 81 ESRS IP クライアント 90 ESX または Virtual Center サーバー 34 F Federal Information Processing Standard 140-2、以下を参 照してください。 FIPS 140-2 FileMover 60 FIPS 140-2 87 H HTTP 34, 41, 52, 59, 119 HTTPS 59, 119 Hypertext Transfer Protocol、以下を参照してください。 HTTP I Internet Protocol バージョン 4、以下を参照してください。 IPv4 Internet Protocol バージョン 6、以下を参照してください。 IPv6 IP Packet Reflect 65 IPv4 86 IPv6 86 IP フィルタリング 25, 65, 90 iSCSI イニシエーター 34 iSCSI ポート、VLAN タグ機能 86 iSNS サーバー ネットワーク ポート 34 K Kerberos、CIFS 認証 26 L LDAP グループ 20 サーバー証明書 60 サーバー接続 19 サーバー ネットワーク ポート 34 サービスの構成 20 セットアップ 19 認証 19 ネーム サービスのサポート 60 VNX1, VNX2 VNX のセキュリティ構成ガイド 143 索引 ネットワークの暗号化 59, 119 範囲 19 ユーザー 20 ユーザー資格情報のキャッシュ 21 Ldap Admin ツール 101 LDAP ドメインの管理 19 LDAP ベースのディレクトリ サーバー Ldap Admin ツール 101 SSL の利用 61 接続 101 LUN マスキング 25 M MirrorView の権限 24 MOTD(今日のメッセージ)、構成 28 N nasadmin アカウント 21 NAS 管理者の役割 22 NAT ゲートウェイ 66 接続 66 NFS、アクセス ポリシー 27 NFS、ファイル共有プロトコル 26 NTLM 認証 26 NTP サーバー 34 NT 資格情報 26 NULL 暗号 94 P PEM(Privacy Enhanced Mail) 62 PKI DataMover LDAP および HTTP 接続 62 SSL 62 SSL の鍵と証明書の管理 60 Policy Manager 81, 82 R Reflect、IP Packet 65 RemotelyAnywhere IP フィルタリング 81 サービス アクションのログ記録 30 ネットワーク ポート 34 パスワードの変更 81 RemotelyAnywhere を使用した IP フィルタリング 81 RemotelyAnywhere を使用したパスワードの変更 81 root アカウント 21 S SAN Copy 34 SAN Copy の権限 24 SAN 管理者の役割 22 SCSI 34 Secure Socket Layer、以下を参照してください。 SSL SHA1 26 SMTP サーバー 34 Snapsure の権限 24 SnapView 34 144 VNX1, VNX2 VNX のセキュリティ構成ガイド SnapView の権限 24 SNMP 16, 86 SNMP マネージャー 34 SP、PKI 証明書 60 SP イベント ログ、アーカイブ 30 SP イベント ログのアーカイブ 30 SP エージェント 34 SSL LDAP ベースのディレクトリ サーバー 61 PKI 62 暗号スイートの変更 120 鍵と証明書、管理 60 証明書 60 デジタル証明書 61 ネーム サービスのサポート 60 ネットワーク転送の暗号化 59, 119 ネットワーク ポート プロトコル 34, 41 プロトコル バージョンの変更 119 SSL/TLS 17, 59, 119 sysadmin アカウント 21 T TCP 34 TLS、サポートされている暗号スイート 94 U UDP 34 Unisphere IPv4 または IPv6 でのアクセス 86 Management Suite コンポーネント 16 USM(Service Manager) 16, 34 安全な環境での実装 90 主な役割 22 管理と監視 90 クライアント/サーバーおよび NAT 66 公開鍵暗号形式 60 コンポーネント、使用されるポート 34, 41, 52 サーバー ソフトウェア 16 資格情報 17 初期化ウィザード 21 セッション タイムアウトの管理 37 Ldap Admin ツールからの値の転送 101 認証 17 パスワード 17 範囲 17 役割 22 役割のマッピング 20 ユーザー インタフェース 10 ユーザー名 17 Unisphere サーバー ソフトウェア、以下を参照してください。 すとれえじかんりさあばあ UNIX ユーザー資格情報 26 V VIA(VNX Installation Assistant) 16, 21 VLAN タグ機能、サポート 86 VM 管理者の役割 22 VNX Operating Environment(OE)パッチ 82 索引 W Windows スタイルの資格情報 26 X X.509 証明書 80, 81 あ アウトバンド通信 16, 34 アカウント Active Directory 100 管理、VNX および VNX for File 21 管理のデフォルト 21 工場出荷時のインストール 21 サービスのデフォルト 21 システム 21 デフォルト 21 アカウントとの同期 21 アカウントの同期 21 アカウントのロック 141 アクセス CLI 86 NFS および CIFS のポリシー 27 SP、EMC カスタマ サービス 81 管理 21 権限 22 サービス 21 物理的セキュリティ統制 28 プロキシ サーバー 66 ホストにより LUN へ 25 モデムベース 82 暗号化サイファ 94 暗号化された鍵 60 暗号スイート、サポートされている 94 安全な環境、Unisphere の実装 90 監査ログ 32 キーストア ファイルのバックアップ 74 起動 71 ディスク ドライブの取り外し 77 データ イン プレース アップグレード 74 ホット スペアの操作 76 監査、Control Station の管理アクティビティ 31 監査情報 30 監査ログ 30 監査ログの消去 30 管理 SNMP 86 アクセス 21 デフォルト アカウント 21 ポート、IPv6 アドレス指定 86 リモート 86 管理者の役割 22 管理セッション タイムアウト 37 き 機能、データ保護の役割 24 今日のメッセージ 作成 139 く グローバル アカウント 21, 22 グローバルな範囲 19 け 検出、マルウェア 83 検証、証明書 60 こ イニシエーター、認証 22 イベント ログ 30 イベント ログ、SP 30 イベント ログ データの収集 31 イベント ログ データのセキュリティ保護 31 インバンド通信 16, 34 公開鍵証明書 CA 署名済み証明書のインポート 126 一覧表示 136 鍵セットと証明書要求の生成 126 クリア 137 作成 121 証明書要求の CA への送信 125 コマンド ライン インタフェース、以下を参照してください。 CLI コミュニティ、SNMP 86 え さ い エンコード、証明書 62 お オペレーターの役割 22 か 鍵、暗号化された 60 鍵交換アルゴリズム 94 格納データの暗号化 Block CLI による SP の再起動 72 Unisphere による SP の再起動 72 新しいディスク ドライブの追加 76 暗号化ステータス 73 概要 70 サーバー ユーティリティ 34 サービス アクセス 21 デフォルト アカウント 21 サービス アクションのログ記録 30 サポートされている暗号スイート TLS 94 し シェル セッション タイムアウト 37 資格情報 26 システム アカウント 21 証明書 LDAP ベースのディレクトリ サーバー 61 VNX1, VNX2 VNX のセキュリティ構成ガイド 145 索引 SSL 60 エンコード 62 検証 60 署名の検証 63 証明書検証のバイパス 60 証明書の保存 60 署名の検証、証明書 63 す ストレージ管理者の役割 22 ストレージ グループ 構成 25 定義 25 ストレージ マネジメント サーバー ネットワーク ポート 34 ストレージ管理サーバー Unisphere Management Suite コンポーネント 16 と 統制、物理的セキュリティ 28 匿名 root ログイン 制限 140 に 認証 Active Directory で 19 Block の CLI 18 CIFS Kerberos 26 iSCSI イニシエーター 22 LDAP で 19 NTLM 26 Unisphere 17 方法 94 認証局、以下を参照してください。 CA ね せ 静止データ暗号化 シャーシまたは SP の交換 77 セキュア HTTP 59, 119 セキュア リモート サポート 82 セキュリティ CHAP 22 NFS の設定 26 セキュリティ管理者の役割 22 セッション タイムアウト 変更 118 無効化 118 セッション トークン SHA1 秘密値の変更 118 た タイムアウト Unisphere セッションの管理 37 シェル セッションの管理 37 ち 中間者攻撃 60 ネーム サービスのサポート 60 ネットワーク アドレス変換、以下を参照してください。 NAT ネットワーク管理者の役割 22 ネットワーク サービス、管理 36 ネットワーク サービスの管理 36 ネットワーク ポート 34, 41, 52 は ハートビート 81 パスワード スクリプトを使用したポリシーの定義 116 特定のポリシー定義の規定 116 有効期限の設定 117 パスワード品質ポリシー 27 ハッシュ アルゴリズム 94 パッチ、VNX Operating Environment(OE) 82 範囲 19 ふ フィルタリング管理ネットワーク 65 物理的セキュリティ 28 プロキシ サーバー 66 プロトコル、ネットワーク ポート 34, 41 つ 通信 アウトバンド 16 インバンド 16 通信、使用されるネットワーク ポート 34, 41 次の証明書 62 て データ 格納、暗号化 27 整合性 27 データ保護の役割 24 データ リカバリの役割 24 デジタル証明書 61 デフォルトのパスワード ポリシー 27 146 VNX1, VNX2 VNX のセキュリティ構成ガイド へ ペルソナ 証明書の提供 121 ほ ホスト、LUN へのアクセス 25 ホスト エージェント Unisphere Management Suite コンポーネント 16 ネットワーク ポート 34 ホスト登録 90 ま マルウェア検出 83 索引 も り モデムベースのアクセス 82 リモート アクセス 81 リモート管理 86 リモート サポート 82 や 役割 Unisphere アクセスのマッピング 20 Unisphere の主な 22 VNX for File CLI アクセス 26 定義 22 データ保護 24 範囲 22 ゆ ユーザー インタフェース 10 ユーザー アカウント 22 ユーザーの適用範囲 19 れ レコード、監査 30 ろ ローカル アカウント 21, 22 ローカル データ保護の役割 24 ローカルな範囲 19 ローカル ユーザーのパスワード 27 ログイン バナー カスタマイズ 139 ログイン バナー、構成 28 ログ データの分析 31 VNX1, VNX2 VNX のセキュリティ構成ガイド 147 索引 148 VNX1, VNX2 VNX のセキュリティ構成ガイド Copyright © 2015 EMC Corporation. All rights reserved. Published in USA. EMC believes the information in this publication is accurate as of its publication date. The information is subject to change without notice. The information in this publication is provided as is. EMC Corporation makes no representations or warranties of any kind with respect to the information in this publication, and specifically disclaims implied warranties of merchantability or fitness for a particular purpose. Use, copying, and distribution of any EMC software described in this publication requires an applicable software license. EMC², EMC, and the EMC logo are registered trademarks or trademarks of EMC Corporation in the United States and other countries. All other trademarks used herein are the property of their respective owners. For the most up-to-date regulatory document for your product line, go to EMC Online Support (https://support.emc.com).